Zum Inhalt springen

KI-generierte Inhalte: Antworten werden von einer KI erstellt, automatisch zusammengestellt und können Fehler enthalten. Conformi ist ein Recherche-Tool und ersetzt keine Rechtsberatung oder rechtliche Prüfung im Einzelfall. Alle Antworten sind anhand der verlinkten Originalquellen zu verifizieren.

Conformi/Knowledge Base/Data Act/Data Act
📈Datenwirtschaft

Datenverordnung (Data Act) — Verordnung (EU) 2023/2854 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung

Analyse vom 17. April 20262 Quellenkonsolidierte Fassung vom 22.12.2023 (mit Berichtigung C1 vom 09.09.2025)EUR-Lex Original

Müssen wir die Daten unserer vernetzten Produkte ab September 2025 an Kunden und Dritte herausgeben — und was passiert, wenn wir es nicht tun?

Ja — die Datenverordnung gilt ab dem 12. September 2025 und verpflichtet Hersteller vernetzter Produkte sowie Cloud-Anbieter zur Datenweitergabe; bei Verstößen drohen Bußgelder bis 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes [Art. 40 Abs. 4].

Kurzantwort

Die Datenverordnung (EU) 2023/2854 regelt erstmals horizontal den Zugang zu Daten aus vernetzten Produkten und verbundenen Diensten sowie den Wechsel zwischen Cloud-Anbietern. Nutzer erhalten einen Anspruch auf Bereitstellung von Produktdaten in maschinenlesbarem Format [Art. 4 Abs. 1] und das Recht, diese an Dritte weitergeben zu lassen [Art. 5 Abs. 1]. Cloud-Anbieter müssen Wechselentgelte bis zum 12. Januar 2027 vollständig abschaffen [Art. 29 Abs. 1]. Missbräuchliche Vertragsklauseln zur Datennutzung zwischen Unternehmen sind unwirksam [Art. 13].

Betroffen

Hersteller vernetzter Produkte, die in der EU in Verkehr gebracht werden, Anbieter verbundener Dienste, Dateninhaber, Datenempfänger, Anbieter von Datenverarbeitungsdiensten (Cloud/IaaS/PaaS/SaaS) sowie öffentliche Stellen [Art. 1 Abs. 3]. Ausgenommen von Kapitel II sind Kleinst- und Kleinunternehmen als Hersteller [Art. 7 Abs. 1].

Frist

12. September 2025: allgemeiner Geltungsbeginn. 12. September 2026: Design-by-Default-Pflicht für neue vernetzte Produkte [Art. 3 Abs. 1, Art. 50]. 12. Januar 2027: vollständige Abschaffung von Wechselentgelten bei Cloud-Diensten [Art. 29 Abs. 1]. 12. September 2027: Kapitel IV gilt auch für Altverträge [Art. 50].

Risiko

Die Datenschutz-Aufsichtsbehörden können bei Verstößen gegen die Kapitel II, III und V Geldbußen bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes verhängen — analog Art. 83 Abs. 5 DSGVO [Art. 40 Abs. 4]. Darüber hinaus legen die Mitgliedstaaten eigene Sanktionsrahmen fest, die wirksam, verhältnismäßig und abschreckend sein müssen [Art. 40 Abs. 1].

Belege

Rechtsstand

  • In Kraft
  • Stand 2026-04-17
  • konsolidierte Fassung vom 22.12.2023 (mit Berichtigung C1 vom 09.09.2025)

Primärquellen

Was jetzt zu tun ist

Legal / DPO

  • Bestehende Datennutzungsverträge mit B2B-Partnern auf missbräuchliche Klauseln gemäß Art. 13 prüfen — einseitig auferlegte Klauseln, die Datenzugang beschränken oder Haftung ausschließen, sind ab 12.09.2025 unwirksam [Art. 13 Abs. 4, Abs. 5].
  • Vertragliche Regelungen für die Weitergabe von Produktdaten an Nutzer und Dritte erstellen, die den Anforderungen an faire, angemessene und nichtdiskriminierende Bedingungen entsprechen [Art. 8 Abs. 1].
  • Prüfen, ob Geschäftsgeheimnisse in weitergegebenen Daten enthalten sind, und Schutzmaßnahmen (Vertraulichkeitsvereinbarungen, technische Zugangsprotokolle) mit Datenempfängern vereinbaren [Art. 4 Abs. 6, Art. 5 Abs. 9].

Compliance

  • Bestandsaufnahme aller vernetzten Produkte und verbundenen Dienste erstellen, die unter die Verordnung fallen, und Dateninventar nach Art, Format und Umfang der generierten Produktdaten anlegen [Art. 3 Abs. 2].
  • Prozess für Datenzugangsverlangen von Nutzern und Dritten einrichten — Bereitstellung muss unverzüglich, unentgeltlich und in maschinenlesbarem Format erfolgen [Art. 4 Abs. 1, Art. 5 Abs. 1].
  • Sanktionsregime der zuständigen nationalen Behörde überwachen und interne Meldewege für die Beschwerdepflichten nach Art. 4 Abs. 7 und Art. 5 Abs. 10 dokumentieren [Art. 37, Art. 40].

IT / Security

  • Technische Schnittstellen (APIs) für den standardmäßigen Datenzugang an vernetzten Produkten und verbundenen Diensten implementieren — Daten müssen sicher, strukturiert und maschinenlesbar abrufbar sein [Art. 3 Abs. 1].
  • Technische Schutzmaßnahmen gegen unbefugten Datenzugriff einrichten, einschließlich Verschlüsselung und intelligenter Verträge, ohne dabei Nutzerrechte einzuschränken [Art. 11 Abs. 1].
  • Cloud-Wechsel-Infrastruktur vorbereiten: exportierbare Daten und digitale Vermögenswerte müssen innerhalb des 30-Tage-Übergangszeitraums übertragbar sein, offene Schnittstellen für Interoperabilität bereitstellen [Art. 25 Abs. 2, Art. 30 Abs. 2].

Product / Engineering

  • Neue vernetzte Produkte, die nach dem 12. September 2026 in Verkehr gebracht werden, müssen by-Design den direkten, sicheren und unentgeltlichen Datenzugang für Nutzer ermöglichen [Art. 3 Abs. 1, Art. 50].
  • Vorvertragliche Informationspflichten im Produktverkauf umsetzen: Käufer müssen vor Vertragsschluss über Art, Format, Umfang und Speicherung der generierten Produktdaten informiert werden [Art. 3 Abs. 2].
  • Produktdokumentation um Angaben zu Datentypen, Zugangsmöglichkeiten und Identität des Dateninhabers erweitern, damit Nutzer ihre Rechte auf Datenweitergabe an Dritte ausüben können [Art. 3 Abs. 3].

Wichtige Begriffe

Vernetztes Produkt
Ein Gegenstand, der Daten über seine Nutzung oder Umgebung erlangt, generiert oder erhebt und diese über elektronische Kommunikation, physische Verbindung oder geräteinternen Zugang übermitteln kann [Art. 2 Nr. 5].
Dateninhaber
Natürliche oder juristische Person, die berechtigt oder verpflichtet ist, Daten — einschließlich Produktdaten oder verbundene Dienstdaten — zu nutzen und bereitzustellen, die sie während der Erbringung eines verbundenen Dienstes abgerufen oder generiert hat [Art. 2 Nr. 13].
Datenempfänger
Natürliche oder juristische Person, die zu gewerblichen Zwecken handelt und vom Dateninhaber Daten erhält, ohne selbst Nutzer des vernetzten Produkts zu sein [Art. 2 Nr. 14].
Datenverarbeitungsdienst
Digitale Dienstleistung, die ortsunabhängig auf Abruf Zugang zu einem skalierbaren Pool konfigurierbarer Rechenressourcen ermöglicht — umfasst Cloud-Computing in zentralisierter, verteilter oder hochgradig verteilter Form [Art. 2 Nr. 8].
Wechselentgelte
Entgelte jenseits von Standarddienstgebühren, die ein Cloud-Anbieter beim Kunden für den Wechsel zu einem anderen Anbieter oder eigener Infrastruktur erhebt, einschließlich Datenextraktionsentgelten [Art. 2 Nr. 36].
Ohne Weiteres verfügbare Daten
Produktdaten und verbundene Dienstdaten, die ein Dateninhaber vom vernetzten Produkt oder verbundenen Dienst ohne unverhältnismäßigen Aufwand rechtmäßig erhält oder erhalten kann [Art. 2 Nr. 17].
Funktionsäquivalenz
Wiederherstellung eines Mindestmaßes an Funktionalität in der Umgebung eines neuen Cloud-Dienstes nach dem Wechsel, sodass bei gleicher Eingabe ein materiell vergleichbares Ergebnis erzielt wird [Art. 2 Nr. 37].
?

Häufige Fragen

Welche Daten müssen Hersteller vernetzter Produkte herausgeben?
Hersteller müssen alle ohne Weiteres verfügbaren Produktdaten und verbundenen Dienstdaten einschließlich relevanter Metadaten bereitstellen — standardmäßig einfach, sicher, unentgeltlich und in maschinenlesbarem Format [Art. 3 Abs. 1, Art. 4 Abs. 1].
Können Nutzer verlangen, dass ihre Daten an einen Dritten weitergegeben werden?
Ja. Auf Verlangen des Nutzers muss der Dateninhaber die Daten unverzüglich, unentgeltlich und in derselben Qualität an einen vom Nutzer benannten Dritten weitergeben. Ausgenommen sind als Torwächter benannte Unternehmen nach der Verordnung (EU) 2022/1925 [Art. 5 Abs. 1, Abs. 3].
Dürfen Cloud-Anbieter noch Wechselentgelte erheben?
Bis zum 12. Januar 2027 dürfen nur ermäßigte Wechselentgelte erhoben werden, die die tatsächlichen Kosten nicht übersteigen. Ab dem 12. Januar 2027 sind Wechselentgelte vollständig verboten [Art. 29 Abs. 1, Abs. 2].
Was gilt als missbräuchliche Vertragsklausel im Datenkontext?
Missbräuchlich sind einseitig auferlegte Klauseln, die eine grobe Abweichung von guter Geschäftspraxis darstellen — etwa der Ausschluss der Haftung für Vorsatz, die Beschränkung des Zugangs zu eigenen Daten oder übermäßig kurze Kündigungsfristen [Art. 13 Abs. 4, Abs. 5].
Sind Kleinst- und Kleinunternehmen von den Datenweitergabepflichten befreit?
Ja, Kapitel II (Datenweitergabe an Nutzer und Dritte) gilt nicht für Daten aus vernetzten Produkten von Kleinst- und Kleinunternehmen, sofern diese keine Partnerunternehmen haben, die nicht als KMU gelten [Art. 7 Abs. 1].
Wie schützt die Datenverordnung Geschäftsgeheimnisse?
Geschäftsgeheimnisse dürfen nur offengelegt werden, wenn zuvor alle erforderlichen technischen und organisatorischen Schutzmaßnahmen vereinbart wurden. Bei drohender schwerer wirtschaftlicher Schädigung kann der Dateninhaber die Weitergabe im Einzelfall ablehnen [Art. 4 Abs. 6, Abs. 8].
Wann können öffentliche Stellen Datenzugang von Unternehmen verlangen?
Nur bei außergewöhnlicher Notwendigkeit: entweder zur Bewältigung eines öffentlichen Notstands oder wenn spezifische Daten für eine im öffentlichen Interesse ausgeübte Aufgabe unerlässlich sind und alle anderen Mittel ausgeschöpft wurden [Art. 15 Abs. 1].
3

Prüfungsfaktoren & Checkliste

Premium
7 Tage kostenlos testen
4

Fragen für Ihren Anwalt

Premium
7 Tage kostenlos testen
5

Fazit & Zusammenfassung

Premium
7 Tage kostenlos testen

Detaillierte Analyse mit Quellenlinks.

Schalten Sie die KI-Analyse frei — mit markierten Fundstellen und direkten Links zu EUR-Lex. 7 Tage kostenlos testen.

7 Tage kostenlos testen

Keine Kreditkarte heute. Kündigung jederzeit.