Die EU-Kommission hat am 23.02.2022 einen Vorschlag für einen EU Data Act veröffentlicht. Mit diesem weiteren Baustein ihrer Europäischen Datenstrategie soll ein europäischer Binnenmarkt für Daten etabliert werden.
Mit dem Entwurf für einen EU Data Act geht die EU-Kommission einen mutigen rechtspolitischen Schritt zur Förderung der Datenökonomie.
Das Angebot von digital vernetzen Produkten (Internet of Things), bei denen Nutzungsdaten systematisch an die Hersteller oder Betreiber übertragen werden, hat stetig zugenommen. Beispielhaft auf Verbraucherseite sind Fitnessgeräte, sprachgesteuerte Assistenzsysteme wie Alexa oder Siri oder sogar vernetzte „Weiße Ware“. Doch auch in der Wirtschaft sind Erntemaschinen, Messtechnik oder Werkzeuge für Handwerker standardmäßig digital vernetzt.
Den so generierten Daten wohnt ein hohes wirtschaftliches Potenzial inne. Daher wird immer bedeutsamer, wer diese Daten und auf welche Art und Weise nutzen darf. Bisher sind die Nutzungsdaten in der Regel allein für die Hersteller/ Betreiber verfügbar, da die Daten in der dortigen Cloud verarbeitet werden. Dem Nutzer hingegen bleibt der Zugang zu den Daten verwehrt, obwohl er sie quasi erzeugt hat.
Genau hier setzt der EU Data Act nun an: Mit horizontaler Regulierung sollen künftig branchen- und sektorenübergreifend durchsetzbare Ansprüche auf Nutzung und Zugang zu diesen Nutzungsdaten geschaffen werden und so die faktischen „Daten-Monopole“ der Hersteller aufgebrochen werden. Neben dem horizontalen EU Data Act arbeitet die EU-Kommission an einer Reihe weiterer branchenspezifischer vertikaler Rechtsakte für die Nutzung von Daten, etwa für den Verkehrs- und den Gesundheitssektor.
Der EU Data Act ist mit dem EU Data Governance Act als Teil der Europäischen Datenstrategie in Zusammenhang zu sehen. Letzterer soll die Weiterverwendung bestimmter Daten des öffentlichen Sektors vereinfachen und den sogenannten Datenaltruismus fördern. Der EU Data Act hingegen macht Vorgaben, wer unter welchen Bedingungen Zugang zu Daten haben muss und wie vertragliche Vereinbarungen zur Nutzung von Daten und Cloud Services gestaltet werden sollten:
Datennutzungs- und Zugangsrechte für Nutzer
Für Unternehmen, die mindestens 50 Mitarbeiter und einen Jahresumsatz oder eine Bilanzsumme von mehr als 10 Millionen Euro haben, gibt Art. 3 des Verordnungsentwurfs („VO-E“) vor, vernetzte Produkte und zugehörige Services von vornherein so zu gestalten, dass die generierten Daten dem Nutzer direkt und leicht zugänglich sind. Darüber hinaus wird ein Katalog an Informationen definiert, welchem dem Nutzer vor Erwerb eines vernetzten Produkts mitgeteilt werden müssen. Hierzu zählen der Umfang der generierten Daten, wie der Nutzer auf diese zugreifen kann und ob diese kontinuierlich und in Echtzeit generiert werden. Art. 4 VO-E gewährt dem Nutzer das Recht, Zugang zu den durch die Nutzung des Produkts oder zugehörigen Services entstandenen Daten zu erhalten. Darüber hinaus räumt Art. 5 VO-E dem Nutzer das Recht ein, vom Hersteller zu verlangen, die durch die Nutzung entstandenen Daten kostenfrei an einen anderen Hersteller seiner Wahl zu übermitteln.
Für die Reichweite der Nutzungs- und Zugangsrechte des Nutzers ist der Begriff des „Produkts“ elementar. Art. 2 Nr. 2 VO-E definiert ein Produkt als greifbaren, beweglichen Gegenstand, der Daten über seinen Gebrauch oder die Umgebung erhebt oder generiert, über eine Internetanbindung Daten austauschen kann und dessen Hauptfunktion nicht in der Datenspeicherung oder -verarbeitung besteht. Hersteller von vernetzten Fitnessarmbändern, Kühlschränken oder Spielzeugen müssen dem Entwurf nach damit rechnen, dass Nutzer künftig ihre Datenzugangs- und Nutzungsrechte ihnen gegenüber geltend machen. Hingegen sind Anbieter von ausschließlich digitalen Diensten, deren Nutzung keine Hardware erfordert, vom Anwendungsbereich ausgenommen. Dies betrifft beispielsweise Streaming Plattformen wie Spotify, Netflix oder Anbieter von cloudbasierter Software.
Der Entwurf sieht weiterhin keine Möglichkeit einer Kompensation für den Nutzer für die Verwendung seiner Daten vor. Während dem Hersteller die Möglichkeit gegeben wird, mit dem Datenempfänger eine mögliche Entschädigung für die Bereitstellung der Daten zu vereinbaren (vgl. Art. 9 VO-E), verlangt der Verordnungsentwurf vom Nutzer eine „Datenspende“.
Zugangsrechte für den öffentlichen Sektor
Im Falle einer absoluten Notsituation („exceptional need“) können öffentliche Stellen die Herausgabe von Nutzungsdaten vom Datenhalter verlangen. Eine absolute Notsituation liegt vor, wenn die Datenanfrage zur Reaktion auf einen öffentlichen Notfall erforderlich sowie zeitlich und vom Umfang auf diesen Notfall begrenzt ist und die öffentliche Stelle nicht in der Lage ist, sich die Daten anderweitig zu beschaffen. Explizit ausgenommen sind Anfragen zur Verhütung, Ermittlung, Feststellung oder Verfolgung von Straftaten oder Ordnungswidrigkeiten oder der Vollstreckung von strafrechtlichen Sanktionen oder für die Zoll- oder Steuerverwaltung. Der Datenzugang wird angesichts der immanenten Gefahr einer „Datenhortung“ bzw. Vorratsdatenspeicherung und der damit verbundenen Überwachungsmöglichkeiten zurecht auf absolute Notsituationen beschränkt. Zudem könnte ein zu weit gehendes Datenzugangsrecht des öffentlichen Sektors gegenüber Unternehmen für Wettbewerbsverzerrungen sorgen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Regulierung von Cloud- und IT-Services
Für Nutzer soll der Wechsel von Cloud- und IT Services erleichtert werden. Dazu dienen sollen Kündigungsfristen bis maximal 30 Tage, die Unzulässigkeit vertraglicher Hindernisse eines Anbieterwechsels, Datenportabilität, die graduelle Abschaffung von Wechselkosten sowie Interoperabilität.
Letztere ist auch essenziell für sogenannte Datenraumbetreiber („data space operators“). Unter dieser Definition fallen Betreiber von Cloud-Plattformen, mit deren Hilfe Dokumente und Informationen online gespeichert und mit anderen geteilt werden können. Nutzer von Datenräumen sollen ihre in einer Cloud gespeicherten Daten möglichst unkompliziert in die Cloud eines anderen Anbieters transferieren können. So sollen Datenraumbetreiber beispielsweise ausreichende Beschreibungen zu Datensätzen, Nutzungsbeschränkungen, Lizenzen, Methodik der Datenerhebung sowie der Datenqualität erstellen. Weiterhin sollen Datenstrukturen und -formate, Vokabulare, Klassifizierungsschemata und die technischen Mittel für den Zugang zu den Daten beschrieben und öffentlich sein.
Insgesamt geht die Kommission mit diesem Entwurf einen mutigen rechtspolitischen Schritt zur Förderung der Datenökonomie. Abzuwarten bleibt, ob und wie der Entwurf den Weg durch das komplexe EU-Gesetzgebungsverfahren nimmt.
Über den Autor: Dr. Peter Katko, licencié en droit ist Rechtsanwalt und Partner, Global Digital Law Leader bei EY Law.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/1e/091ed8cb9e5ff2018767a38d5f3e6c01/0128644514v2.jpeg "In Europa werden vor allem Infostealer, Spyware und Backdoors eine zunehmende Bedrohung für Unternehmen. (Bild: Neuropixel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d0/0d/d00d9817e95b958c4e9a5de3827f97dc/0128941867v2.jpeg "Die StackWarp-Sicherheitslücke in AMD-Prozessoren ermöglicht Angreifern, durch Manipulation des Stack-Pointers Sicherheitsmechanismen zu umgehen und auf vertrauliche Daten in virtuellen Maschinen zuzugreifen. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/12/bd121ec45041d6f7dc804f9d5ec61402/0128625025v1.jpeg "Ransomware-Angriffe treffen immer häufiger Unternehmen über externe Dienstleister oder durch KI-gestützte Techniken wie Deepfakes und generiertes Phishing. (Bild: © StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/bc/1bbce1be24cc1385f75c3807304a159a/0128961828v2.jpeg "Vom 13. bis 16 Januar 2026 fand in Lissabon die Sharp Inspire Expo statt. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/f5/20/f5202ba457b5b1acd41cf9dcf7fee081/0128966225v1.jpeg "SASE-Plattformen verarbeiten Sicherheitsfunktionen direkt im Datenstrom. Leistungsengpässe wirken sich sofort auf Anwendungen und Richtliniendurchsetzung aus. (Bild: © Thares2020 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/89/bc89161c8e1c7eaf788bb4afd3240f39/0128948228v1.jpeg "Der Einsatz generativer KI in Fachabteilungen entzieht sich häufig der klassischen IT-Governance und erfordert neue Steuerungsmodelle. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/f4/92f4b65a1330a2b356a38c36aecb99c1/0127554001v1.jpeg "Ein QNAP-NAS lässt sich direkt in Active-Directory-Domänen integrieren. So können Administratoren Benutzerrechte und Zugriffe zentral über den Domänencontroller steuern. (Bild: QNAP)")
:quality(80)/p7i.vogel.de/wcms/6a/73/6a73ccb768416b1a5682e4dcaef48d84/0128975429v1.jpeg "Die Sicherheitsarchitektur von SAP S/4HANA entsteht in der Startphase aus Rollenmodellen, Schnittstellenkontrollen, Protokollierung und klaren Betriebsprozessen. (Bild: © BalanceFormCreative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/51/91/5191e57580adf858d831f07713d9b93c/0127671074v1.jpeg "Microsoft konsolidiert mit der Windows Update Orchestration Platform die Update-Prozesse für Betriebssystem, Treiber und Anwendungen. Erfahren Sie, wie die neue Plattform mit Azure Update Management zusammenspielt und IT-Administratoren bei Compliance, Rollout und Fehlerdiagnose unterstützt. (Bild: Joos | Microsoft)")
:quality(80)/p7i.vogel.de/wcms/b2/d0/b2d0d2ae93fd30ca5959bcf82b4d5bb3/0128930398v1.jpeg "Deepfakes und KI-gestützter Betrug stellen Unternehmen, Behörden und Gesellschaft vor neue Herausforderungen. Technische Erkennung, organisatorische Maßnahmen und Forschungspartnerschaften gelten als zentrale Gegenpole. (Bild: © JovialFox - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/07/d5/07d5de7cfa895e90d88fc9023a0d7050/0128728878v1.jpeg "Zahlen, Vergütung, Transparenz: Der Gehaltsreport zeigt, wie unterschiedlich Einkommen in Deutschland ausfallen. (Bild: ChatGPT / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/db/1c/db1c91cdd92a3c540a8a73e4ec127a59/0125796845v2.jpeg "Der EU Data Act schafft neue Möglichkeiten für den Datenzugang. Unternehmen und Behörden müssen jetzt den Zugang zu Daten gewähren und dabei zugleich die Datenschutzbestimmungen einhalten. (Bild: © sam richter - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/24/c2/24c2d63f202bceda7dad3fc6a67130da/0125790148v2.jpeg "US-Cloud-Dienste unterliegen dem amerikanischen Recht – selbst wenn sie Daten ausschließlich in Europa speichern. Dies zog nun eine Untersuchung durch den französischen Senat nach sich. (Bild: Pixabay)")