Der EU Data Act erweitert Datenzugangsrechte und Datenportabilität. Aber ohne abgestimmte Sicherheits- und Datenschutzmaßnahmen drohen neue Risiken. Unternehmen müssen prüfen, welche Bestände in den Anwendungsbereich fallen, DSGVO-Pflichten synchronisieren, technische Schutzmaßnahmen nach Art. 11 Data Act etablieren und einheitliche TOMs für Personen- und Sachdaten definieren.
Der Data Act schafft neue Datenzugangsrechte. Unternehmen müssen technische Schutzmaßnahmen, DSGVO-Anforderungen und einheitliche TOMs verzahnen, um Datenbewegungen abzusichern.
Der Data Act soll Nutzern, sowohl Verbrauchern als auch Unternehmen, mehr Kontrolle über die Daten geben, die von ihren vernetzten Geräten wie Autos, Smart-TVs und Industriemaschinen erzeugt werden. Das neue Datengesetz legt den Grundstein für eine faire, innovative und wettbewerbsfähige europäische Datenwirtschaft, so die EU-Kommission.
Doch mit den neuen Chancen sind wie so oft auch neue Risiken verbunden, aus „mehr Kontrolle über die Daten“ könnte ein „weniger Kontrolle über die Daten“ werden, denn es werden Daten bewegt und übertragen (Data Portability). Das OECD Policy Paper „The impact of data portability on user empowerment, innovation, and competition” erklärt zum Beispiel: „Maßnahmen zur Datenportabilität können den Wettbewerb in schnell wachsenden Märkten unbeabsichtigt hemmen, da Interoperabilitätsanforderungen KMU und Start-ups unverhältnismäßig stark belasten können. Datenportabilität kann zudem die Risiken für digitale Sicherheit und Datenschutz erhöhen, indem sie Datentransfers an mehrere Ziele ermöglicht“.
Der Digitale Omnibus der EU-Kommission will die Belastung für KMU und Startups unter anderem beim Data Act verringern. Die möglichen Risiken für die digitale Sicherheit aber sollten auch in den Blick genommen werden.
Wenn Daten zugänglich gemacht werden, darf nicht nur der Data Act im Blick sein, denn der Datenschutz muss weiterhin umgesetzt werden. So erklärt das Bayerische Landesamt für Datenschutzaufsicht: Der Data Act gilt für Daten mit und ohne Personenbezug. Um das Schutzniveau des Datenschutzrechts nicht zu umgehen, sieht der Data Act daher bei Sachverhalten mit personenbezogenen Daten einen Vorrang der DSGVO vor, so die Aufsichtsbehörde. Das heißt in den Fällen, in denen personenbezogene Daten von den Regelungen des Data Acts umfasst sind, müssen sämtliche Anforderungen der DSGVO eingehalten werden.
Der Landesbeauftragte für den Datenschutz in Niedersachsen macht klar: Auf Verlangen des Nutzers müssen die Daten auch an andere Unternehmen oder Verbraucher weitergegeben werden. Persönliche Daten der Nutzer wie aufgezeichnetes Fahrverhalten bei vernetzten Fahrzeugen oder der Fitnesszustand von Smartwatches werden weiterhin vorrangig durch die Datenschutz-Grundverordnung geschützt. Ihre Weitergabe erfordert daher ergänzend zu den Vorschriften des Data Act eine Rechtsgrundlage nach der DSGVO, so der Landesdatenschutzbeauftragte.
Unternehmen sollten umgehend überprüfen, ob ihre Datenbestände in den Anwendungsbereich des Data Act und bei einem Personenbezug gleichzeitig in den Anwendungsbereich der DSGVO fallen. Informationen und Vertragstexte, wie etwa Nutzungsbedingungen, sollten gegebenenfalls angepasst werden.
Die Forderungen der Datenschutz-Grundverordnung (DSGVO) betreffen bekanntlich auch die Sicherheit der Verarbeitung, und generell müssen Unternehmen daran denken, dass das neue Recht auf Datenzugang und die Datenportabilität auch neue Anforderungen an die Datensicherheit mit sich bringen.
Eine enge Abstimmung zwischen Datenschutz, IT-Sicherheit und Datenmanagement ist besonders wichtig, erläutert der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) mit Blick auf den Data Act. Das Gleichgewicht zwischen Datennutzung und Datenschutz wird komplexer, aber auch vielversprechender, so der Berufsverband. Das Datengesetz erweitert demnach den Aufgabenbereich von Datenschutzbeauftragten und fordert ein proaktives Management von Datenschutzrisiken im Kontext der Datenökonomie.
Im Data Act und in den Erläuterungen (Erwägungsgründe) zum Data Act werden die neuen Aufgaben für die Datensicherheit ebenfalls sichtbar. Artikel 11 Data Act beschreibt „Technische Schutzmaßnahmen über die unbefugte Nutzung oder Offenlegung von Daten“, darunter: „Ein Dateninhaber kann geeignete technische Schutzmaßnahmen, einschließlich intelligenter Verträge und Verschlüsselung, anwenden, um den unbefugten Zugang zu Daten, einschließlich Metadaten, zu verhindern“.
Unter „Erwägungsgrund 94 Sicherheit beim Wechsel“ (gemeint ist das Cloud Switching) zum Beispiel findet man: „Während des gesamten Vollzugs des Wechsels sollte ein hohes Maß an Sicherheit gewahrt werden. Das bedeutet, dass der ursprüngliche Anbieter von Datenverarbeitungsdiensten das Sicherheitsniveau, zu dem er sich in Bezug auf den Dienst verpflichtet hat, auf alle technischen Modalitäten – wie Netzverbindungen oder physische Geräte – ausdehnen sollte, für die er während des Vollzugs des Wechsels verantwortlich ist.“
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Da die Datenschutzaufsichtsbehörden sich als Data-Act-Aufsichtsbehörden bei Personenbezug der Daten positionieren, kommt von einer Datenschutzaufsicht auch ein hilfreicher Leitfaden zum Data Act, der auch Sicherheitsmaßnahmen benennt.
Für den „Schutz der Vertraulichkeit durch technisch-organisatorische Maßnahmen bei der empfangenden Stelle“ empfiehlt der Leitfaden des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit: „Sowohl Data Act als auch DSGVO verpflichten die beteiligten Akteure, den Datenaustausch sicher zu gestalten und auch die empfangenden Daten mittels technisch-organisatorischer Maßnahmen vor dem Zugriff durch Unbefugte zu sichern“.
Die Vorgabe aus der DSGVO weist starke Ähnlichkeit mit den Regelungen aus dem Data Act auf. Es geht darum, für jeweils spezifische Konstellationen technisch-organisatorische Maßnahmen zur Gewährleistung der Vertraulichkeit einzurichten. Welche dies konkret sind und wie weit das herzustellende Schutzniveau reicht, wird in beiden Rechtsakten nach einem risikobasierten Ansatz anhand der Schutzwürdigkeit der Daten, der Wahrscheinlichkeit eines Angriffs und den Umständen des Einzelfalls bemessen, so die Datenschutzaufsicht.
Es sind aber keine doppelten Aufwände notwendig: Um den möglichen Sicherheitsrisiken durch neue Datenzugangsrechte und Datenportabilität nach Data Act zu begegnen, „empfiehlt sich eine Umsetzung mittels einheitlicher Schutzmaßnahmen unabhängig vom Personenbezug der betreffenden Daten“, so die Datenschutzaufsicht.
Erneut zeigt sich, wie Datenschutz und Datennutzung zusammenspielen, auch bei Fragen der Datensicherheit.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/8d/3f8d46b4a7fd9b48db0788c0bde6936b/0128970278v2.jpeg "Der Gemeinde- und Städtebund warnt, dass Hacker nahezu täglich die IT-Systeme unserer Gemeinden und Städte angreifen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/c2/f9c2294159cf54881cc858b0423d08aa/0128304876v1.jpeg "Tiho Saric, Senior Sales Director bei Gigamon, zeigt, weshalb Deep Observability die Grundlage für Zero Gap bildet und Unternehmen hilft, Blind Spots zu eliminieren, verschlüsselte Workloads zu überwachen und Zero Trust konsequent umzusetzen. (Bild: Gigemon)")
:quality(80)/p7i.vogel.de/wcms/b9/35/b935e76917a2e60a68d35b91e24f2147/0128651087v2.jpeg "Für OT-Umgebungen wird es immer wichtiger, in verbesserte Erkennungssysteme und gezielte Investitionen in Sicherheitsmaßnahmen wie effektive Segmentierung und sicheren Fernzugriff zu investieren, um Cybervorfälle effektiv zu managen und Betriebsunterbrechungen zu minimieren. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/35/67/35679a2ca8f2e8d2d960430c70823994/0112150345v1.jpeg "Im Podcast klären wir, wie das richtige Wissen um Rahmenwerke einen chaotischen Zoo von Anweisungen, Projekten und internen Richtlinien verhindert. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/db/1c/db1c91cdd92a3c540a8a73e4ec127a59/0125796845v2.jpeg "Der EU Data Act schafft neue Möglichkeiten für den Datenzugang. Unternehmen und Behörden müssen jetzt den Zugang zu Daten gewähren und dabei zugleich die Datenschutzbestimmungen einhalten. (Bild: © sam richter - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/85/2685bda5080897ecd787ea7ae57f19ec/0126699701v2.jpeg "Ab dem 12. September 2025 gilt der EU-Data-Act, der Nutzern digitale Produkte mehr Transparenz und Kontrolle über ihre Daten gibt. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/58/66580b457c8afbe5d3b6c8dc77ca01a5/0116806384.jpeg "Der EU-Data Act und die DSGVO bilden gemeinsam eine zukunftsfähige Grundlage für Datennutzung bei gleichzeitigem Datenschutz. (Bild: denizbayram - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/81/bd/81bd5ce4ed478e58f0a4b58c2ca96612/0124967752v2.jpeg "Verbände und Politiker wollen die Datennutzung über den Datenschutz stellen. Dabei soll der Datenschutz die Datennutzung gar nicht verhindern, sondern ihr einen rechtlichen Rahmen vorgeben, der den Menschen die Kontrolle über ihre eigenen Daten verschafft. (Bild: © Sikov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/12/0c1213565bd46d206ad9e837f8c5f858/0127924133v2.jpeg "Der Data Act schafft Regeln, aber keine Souveränität. (Bild: © Oleksandr Bochkala – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/db/1c/db1c91cdd92a3c540a8a73e4ec127a59/0125796845v2.jpeg "Der EU Data Act schafft neue Möglichkeiten für den Datenzugang. Unternehmen und Behörden müssen jetzt den Zugang zu Daten gewähren und dabei zugleich die Datenschutzbestimmungen einhalten. (Bild: © sam richter - stock.adobe.com)")