Data Act: Next Step der Digitalstrategie

Europäische Union Flagge mit gelben Sternen über einer digitalen Leiterplatte – Symbol für den Data Act und die europäische Digitalstrategie.

Schwerpunkt
Seit dem 12. September 2025 gilt mit dem Data Act ein neuer Baustein der europäischen Digitalstrategie. Durch den Data Act soll die Datenwirtschaft in der EU gestärkt und auch nicht-personenbezogene Daten besser nutzbar gemacht werden. Nahezu alle Branchen und Unternehmen sind betroffen.

Hintergrund

Der Data Act ist Teil der europäischen Datenstrategie und trat am 11. Januar 2024 in Kraft. Seit heute (12. September 2025) ist dieser anwendbar. Durch den Data Act soll mehr Klarheit darüber geschaffen werden, wer welche Daten unter welchen Bedingungen nutzen darf und wie Daten zwischen Geräten, Diensten und Anbietern zu teilen sind. Da verfügbare Datenbestände bislang aufgrund gesetzlicher, wirtschaftlicher und technischer Hemmnisse nicht vollständig ausgenutzt wurden, rechnet die EU-Kommission damit, dass die Mitgliedstaaten durch den Data Act bis 2028 einen BIP-Zuwachs in Höhe von 270 Mrd. EUR verzeichnen werden. Die wirtschaftlichen Chancen sind für jedes Unternehmen daher immens, die Risiken im Falle einer unzureichenden Umsetzung allerdings auch.

So gilt es die folgenden, aus dem Data Act resultierenden Compliance-Pflichten umzusetzen:

  • Vermeidung von Vendor Lock-in: Nutzer haben künftig stärkere Rechte, Diensteanbieter insb. vernetzter Geräte zu wechseln und ihre Daten hierbei zu portieren. Unternehmen erhalten zugleich eine größere Flexibilität bei der Kombination verschiedener Cloud-Anbieter, müssen sich aber auch darauf einstellen, selbst dahingehende Pflichten gegenüber ihren Nutzer*Innen zu erfüllen und insb. Daten in Echtzeit bereitstellen sowie Fremddaten aufnehmen zu können.
  • Vertrags- und Risikomanagement: Bestehende Verträge mit Cloud- und Datenverarbeitungsdiensten müssen überprüft und ggf. angepasst werden, dies insb. hinsichtlich vereinbarter Kündigungsfristen sowie Datenportabilitäts- und -zugangsrechte, um Verstöße gegen die dahingehenden Vorgaben des Data zu vermeiden Acts (etwa betreffend die Vorgaben der sog. „schwarzen“ und „grauen“ Liste gem. Art. 13 Abs. 4 und 5 Data Act).
  • Angemessene Wechselentgelte: Wechsel- oder Exit-Entgelte betreffend einen Provider-wechsel sind für eine Übergangsfrist erlaubt, werden aber künftig ganz untersagt sein. Entsprechend müssen Unternehmen ihre Preis- und Abrechnungsmodelle überprüfen und anpassen, um den Vorgaben des Data Acts zu entsprechen.
  • Datenbereitstellung an Behörden: In bestimmten Fällen kann eine Datenbereitstellung an Behörden sicherzustellen sein. Hierzu müssen Unternehmen Prozesse vorsehen, um dahingehende Anfragen prüfen und erforderlichenfalls erfüllen zu können.
  • Beachtung von Datenschutzanforderungen: Der Data Act betrifft sowohl personenbezogene als auch nicht-personenbezogene Daten. Bei ersteren ist neben dem Data Act die DSGVO zu beachten. Entsprechend müssen Unternehmen die Umsetzung des Data Acts in das bestehende Datenschutz-Management einbinden. Integrierte Prozesse sind daher unentbehrlich, eine Abstimmung mit der Funktion des Datenschutzbeauftragten entsprechend obligatorisch. Gleiches gilt es mit Blick auf die Einbeziehung des Informationssicherheitsbeauftragten (ISO bzw. CISO) mit Blick auf die Sicherheit der Verarbeitung in diesem Kontext.

Wichtig: Unmittelbares Handeln ist gefragt!

Sollten Ihr Unternehmen die aus dem Data Act resultierenden Pflichten noch nicht umfassend umgesetzt haben, empfiehlt es sich, umgehend zu handeln. Denn andernfalls können rechtliche Auseinandersetzungen insb. mit Nutzern, Geschäftspartnern und Aufsichtsbehörden drohen. Letztere können dabei auch Bußgelder in Höhe von bis zu EUR 20 Mio. oder 4 % des weltweiten Jahresumsatzes eines Unternehmens aussprechen, wobei ein Rückblick auf die Sanktionspraxis nach Anwendbarkeit der DSGVO zeigt, dass dies nicht allzu lange auf sich warten lassen dürfte.

Was wir für Sie tun können

Wir bieten Ihnen umfassende Beratung und Begleitung rund um die Anforderungen des Data Acts und unterstützen Sie insbesondere bei den folgenden Themen:

  • Compliance Check: Wir führen eine Analyse durch, ob und inwieweit sie Pflichten des Data Act zu beachten haben und welche Dienste, Daten und Prozesse betroffen sind. Auch unterstützen wir Sie dabei zu verstehen, welche Rechte und Pflichten Sie gegenüber Geschäftspartnern haben und helfen Ihnen, diese durch- oder umzusetzen.
  • Vertragsprüfung und -gestaltung: Gerne analysieren wir bestehende SaaS- sowie sonstige Cloud- und Datenverarbeitungsverträge mit Blick auf die Vorgaben des Data Act und helfen Ihnen, diese bei Bedarf anzupassen.
  • Schulung & Sensibilisierung: Wir bieten adressatengerechte Schulungen an, um Geschäftsführung, IT-Abteilungen, Vertragsverantwortliche und andere relevante Akteure über die Rechte und Pflichten nach dem Data Act aufzuklären und das dahingehende Compliance-Bewusstsein im Unternehmen zu stärken.
  • Implementierungsunterstützung: Gemeinsam mit Ihren technischen Fachbereichen unterstützen wir Sie, bestehende Anforderungen an die Interoperabilität der Daten umzusetzen und insoweit eine ordnungsgemäße Dokumentation zu schaffen.
  • Rechtsvertretung und Behördenkommunikation: Sollte es zu Streitigkeiten im Zusammenhang mit dem Data Act kommen, vertreten wir Ihre Interessen bspw. gegenüber Anbietern und Aufsichtsbehörden, dies außergerichtlich und gerichtlich.

Sie profitieren dabei von unserer langjährigen Beratungserfahrung im technologische Umfeld. Dabei nehmen wir stets eine pragmatische, unternehmensnahe Perspektive ein, dies nicht zuletzt aufgrund unserer im Datenschutz- und Informationssicherheitskontext erworbenen, langjährigen Inhouse-Erfahrung.

Sprechen Sie uns im Falle von Fragen oder Unterstützungsbedarf gerne an!

Unsere Ansprechpartner

Timo Meisener ist Rechtsanwalt bei BUSE am Standort Düsseldorf. Seine Tätigkeitsschwerpunkte liegen im Datenwirtschafts-, Datenschutz- und IT-Recht, einschließlich der jeweiligen Schnittstellen zum Arbeitsrecht.

Anwalt
Timo Meisener
Rechtsanwalt
+49 211 388000 / meisener@buse.de

Prof. Dr. Thorsten Behling ist Rechtsanwalt und Partner am Standort Düsseldorf. Er ist ISO/IEC 27001 Lead Auditor, Honorarprofessor der Ruhr-Universität Bochum

Anwalt
Prof. Dr. Thorsten Behling
Rechtsanwalt
+49 211 38800-0 / behling@buse.de

Yves-Alexander Wolff ist Partner im Hamburger Büro von BUSE und verfügt über umfassende Expertise im Gewerblichen Rechtsschutz.

Anwalt
Yves-Alexander Wolff, LL.M.
Rechtsanwalt
+49 40 41999-0 / wolff@buse.de

Albrecht von Wilucki ist Rechtsanwalt der Kanzlei BUSE in Düsseldorf. ✓ Wirtschaftsrecht ✓ Gesellschaftsrecht ✓ Mergers & Acquisitions

Anwalt
Albrecht von Wilucki, LL.M. (Boston Uni.)
Rechtsanwalt, Attorney at law
+49 211 38800-0 / wilucki@buse.de

Weitere Informationen

Symbolische Darstellung des Übergangs von 2025 zu 2026 mit Schalter und Glühbirne – Sinnbild für Änderungen bei der Markenanmeldung und neue Markenklassen ab 2026

Blog: Technologie & Datenwirtschaftsrecht
13. Ausgabe der Nizza-Klassifikation: Änderungen 2026 für Markenanmeldungen
Ab 2026 neue Klasseneinteilung für Marken – was ändert sich?
18.12.2025
Yves-Alexander Wolff

Illustration aus leuchtenden, digital vernetzten Zahnrädern auf dunklem Hintergrund, die den Digital Package on Simplification symbolisieren.

Blog: Technologie & Datenwirtschaftsrecht
Das avisierte „Digital Package on Simplification“ der EU-Kommission
Mögliche Auswirkungen auf Datenschutz, KI und Tracking
13.11.2025
Thorsten Behling, Timo Meisener

Futuristischer humanoider Roboter mit sichtbaren Schaltkreisen und Kabeln, dessen Gesicht mit der Flagge der Europäischen Union (blaue Fläche mit gelben Sternen) überlagert ist; Symbolbild für die Regulierung von künstlicher Intelligenz und den EU AI Act in Europa.

Blog: Technologie & Datenwirtschaftsrecht
EU AI Act: Was die KI-Verordnung wirklich bedeutet – Überblick & Praxisleitfaden
19.08.2025
Yves-Alexander Wolff

Das Bild zeigt eine stilisierte Weltkarte mit leuchtend blauen Kontinenten, auf denen ein Netzwerk aus verbundenen Punkten dargestellt ist – symbolisiert die globale Vernetzung und internationale Bedeutung der Verfahrensregeln DSGVO im Datenschutzrecht.

Blog: Technologie & Datenwirtschaftsrecht
Vorschlag der EU-Kommission für die Festlegung zusätzlicher Verfahrensregeln für die Durchsetzung der DSGVO
Relevanz für multinational agierende Unternehmensgruppen und Konzerne
17.07.2025
Thorsten Behling, Timo Meisener

Abstrakte Darstellung von Cybersicherheit mit einem roten Vorhängeschloss-Symbol auf einem digitalen Hintergrund aus leuchtenden blauen und roten Datenleitungen und Schaltkreisen.

Blog: Technologie & Datenwirtschaftsrecht
KI-Trainingsdatensätze als geistiges Eigentum? Schutzfähigkeit und Schutzlücken von Trainingsdaten und Datensätzen
08.07.2025
Yves-Alexander Wolff

Nahaufnahme von Händen auf einer Computertastatur mit digital eingeblendeten Icons zu IT-Sicherheit, wie ein Schloss, Dokumente, Server und mobile Geräte – Darstellung von moderner Cybersicherheit im Geschäftsalltag.

Blog: Technologie & Datenwirtschaftsrecht
Der Schutz von Geschäftsgeheimnissen im Zeitalter der KI: Rechtliche Herausforderungen und strategische Ansätze
15.05.2025
Yves-Alexander Wolff
Links

Anwälte
Kompetenzen
Blog
Karriere
Partnerschaft
Veranstaltungen

BUSE

Über die Kanzlei
Partnerinnen und Partner
Kontakt
CSR
Impressum
Datenschutzerklärung

Gespräch vereinbaren

Ihr Anliegen können wir gerne direkt in einem persönlichen Gespräch erörtern. Wir versichern Ihnen absolute Diskretion und eine professionelle und ehrliche Beratung.

…zu unseren Standorten

© BUSE · Rechtsanwälte Steuerberater Partnerschaftsgesellschaft mbB