Startschuss für den Data Act: Neue Regeln für den B2B-Datenzugang

Die „Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung“ (Verordnung (EU) 2023/2854; kurz: „Data Act“, „DA“) wurde am 27. November 2023 vom Rat der Europäischen Union verabschiedet. Im Zentrum des Data Act stehen Nutzungs- und Betriebsdaten aus vernetzten Geräten und Diensten (IoT-Daten), die für die unternehmerische Wertschöpfung zunehmend an Bedeutung gewinnen. Ziel des Data Act ist es, den Datenzugang fairer zu gestalten, Machtungleichgewichte abzubauen und Innovation im Binnenmarkt zu fördern.

Seit dem 12. September 2025 gilt die Verordnung in allen Mitgliedstaaten der Europäischen Union zwar unmittelbar, jedoch obliegt der Vollzug den einzelnen Mitgliedstaaten, die hierfür nationale Durchführungsgesetze erlassen müssen. Am 29. Oktober 2025 hat das Bundeskabinett den Kabinettentwurf für ein deutsches Data-Act-Durchführungsgesetz (DA-DG) beschlossen. Der Entwurf benennt die Bundesnetzagentur (BNetzA) als einzige zuständige Aufsichtsbehörde für die Anwendung und Durchsetzung des Data Acts. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) erhält eine Sonderzuständigkeit für datenschutzrechtliche Fragen, insbesondere gegenüber der Wirtschaft. Deutschland verzichtet auf Gold-Plating, das heißt, die nationale Umsetzung des Data Act beschränkt sich auf das erforderliche Zuständigkeits- und Aufsichtsgerüst, ohne weitergehende Pflichten oder strengere Verfahren als nach EU-Recht vorgesehen.

Im Folgenden stellen wir die Bedeutung und die Auswirkung des Data Act auf den Umgang mit Unternehmensdaten dar und erläutern dessen rechtliche Einordnung im Verhältnis zur DSGVO.

Executive Summary

Der Data Act bringt einen grundlegenden Wandel im Umgang mit Unternehmensdaten. Er verpflichtet Hersteller und Anbieter vernetzter Produkte, Nutzern den Zugang zu sämtlichen während der Nutzung entstehenden Daten zu gewähren und erlaubt deren Weitergabe an autorisierte Dritte. Damit werden bestehende Machtungleichgewichte reduziert und neue Geschäftsmodelle gefördert. Ergänzend schützt Art. 13 Data Act Unternehmen – insbesondere Kleine und mittlere Unternehmen (KMU) – vor missbräuchlichen Vertragsklauseln und etabliert unionsweit ein Fairness-Regime für B2B-Datenverträge.

Für personenbezogene Daten bleibt die DSGVO vorrangig. Jede Datenweitergabe erfordert weiterhin eine gültige Rechtsgrundlage nach Art. 6 bzw. Art. 9 DSGVO. Besonders bei Mischdatensätzen bestehen erhebliche Prüfpflichten für Dateninhaber, die den rechtssicheren Datentransfer komplex machen.

Unternehmen müssen ihre Vertragsgestaltung anpassen: Verantwortlichkeiten zwischen Dateninhaber, Nutzer und Dritten sind klar zuzuweisen, Rechtsgrundlagen nachzuweisen und technische Schnittstellen bereitzustellen. AGB und Vertragsmuster sind auf Vereinbarkeit mit den Vorgaben des Data Act zu prüfen und anzupassen.

Der Data Act eröffnet Chancen für Wettbewerb und Innovation, verlangt aber eine enge Verzahnung von Data-Act-Compliance und DSGVO-Compliance. Unternehmen sollten daher frühzeitig handeln, um rechtliche Risiken zu minimieren und die Potenziale des neuen Rechtsrahmens zu nutzen.

Datenzugang und Weitergabe nach Art. 4–6 Data Act

Kernstück des Data Act sind die neuen Datenzugangsrechte. Anbieter vernetzter Produkte und verbundener Dienste müssen ihren Nutzern sämtliche während der Nutzung entstehenden Daten bereitstellen (Art. 4 DA). Die Daten sind leicht, sicher und unmittelbar zugänglich zu machen; der Basiszugang erfolgt grundsätzlich unentgeltlich. Nutzer dürfen diese Daten zudem an autorisierte Dritte weitergeben (Art. 5 DA). Beschränkungen sind nur dann zulässig, wenn die Weitergabe zu unlauterem Wettbewerb führen oder Schutzrechte verletzen würde (Art. 6 DA). Damit durchbricht der Data Act die bisherige Vertragsautonomie und verschafft Nutzern einen rechtlich durchsetzbaren Anspruch auf Dateneinsicht und -weitergabe.

Vertragliche Fairness und Schutz vor missbräuchlichen Klauseln

Ein weiterer Schwerpunkt liegt auf der Fairness von Datenverträgen. Nach Art. 13 DA sind einseitig auferlegte und missbräuchliche Vertragsklauseln nicht bindend. Beispiele hierfür sind Haftungsausschlüsse für vorsätzliches Verhalten, willkürliche Änderungen wesentlicher Vertragsbestandteile ohne Rücktrittsrecht oder unangemessene Einschränkungen von Kündigungsrechten. Diese Regelung lehnt sich inhaltlich an die Mechanismen des deutschen AGB-Rechts an (§§ 305 ff. BGB), überträgt sie aber in einen unionsrechtlichen Rahmen für B2B-Verträge. Besonders kleine und mittlere Unternehmen sollen hiervon profitieren, da ihre Verhandlungsposition in Vertragsbeziehungen gestärkt wird.

Vorrang der DSGVO und Rechtsgrundlagenproblematik

Die DSGVO hat ausdrücklich Vorrang vor dem Data Act (Art. 1 Abs 5 DA i.V.m. Erwägungsgrund 7 DA).

Das bedeutet: Für jede Verarbeitung personenbezogener Daten ist weiterhin eine Rechtsgrundlage nach Art. 6 DSGVO erforderlich, bei besonderen Kategorien zusätzlich Art. 9 DSGVO.

Der Data Act schafft keine neue Erlaubnisnorm. Enthalten die zu übermittelnden Daten personenbezogene Elemente, darf eine Bereitstellung nur erfolgen, wenn ein gültiger DSGVO-Tatbestand einschlägig ist – etwa Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO), Vertragserfüllung Art. 6 Abs. 1 S. 1 lit. b DSGVO) oder berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO).

Problematisch sind insbesondere Mischdatensätze, die sowohl personen- als auch nicht personenbezogene Informationen enthalten.

Nach der Rechtsprechung des EuGH ist für die Einordnung als personenbezogenes Datum der sogenannte absolute Personenbezug maßgeblich. Bereits die objektive Möglichkeit, dass eine natürliche Person durch einen Dritten mit rechtlich zulässigen Mitteln identifiziert werden kann, genügt, um den Personenbezug zu bejahen. Unternehmen sind daher verpflichtet, im Einzelfall zu prüfen, ob und in welchem Umfang IoT-Daten dem Anwendungsbereich der DSGVO unterfallen.

Sofern Nutzende zugleich betroffene Person sind, kann ihr Datenbereitstellungsverlangen im Einzelfall als konkludente Einwilligung gewertet werden. Voraussetzung ist jedoch, dass sämtliche Anforderungen der DSGVO – insbesondere Informiertheit, Freiwilligkeit, Spezifizität, Widerruflichkeit und Dokumentation – erfüllt sind. Handelt es sich dagegen um Fälle, in denen Nutzende nicht identisch mit der betroffenen Person sind, treten sie selbst als Verantwortliche auf und müssen eine eigenständige Rechtsgrundlage nachweisen, typischerweise berechtigtes Interesse oder Vertragserfüllung. In beiden Konstellationen sind die weiteren Vorgaben der DSGVO einzuhalten. Enthalten Datensätze sowohl personenbezogene als auch nicht personenbezogene Informationen, werden sie insgesamt von der DSGVO erfasst (Erwägungsgrund 34 DSGVO).

Die Aufsicht über die Anwendung des Data Act liegt gemäß Art. 37 Abs. 3 DA bei den Datenschutzaufsichtsbehörden, soweit die Verarbeitung personenbezogene Daten betrifft. Für die Überwachung der Vorschriften des Data Act im Bereich der nicht personenbezogenen wird die Bundesnetzagentur (BNetzA) für die Anwendung und Durchsetzung des Data Act zuständige Behörde nach Art. 37 Abs. 1 DA benannt.

Auswirkungen auf die B2B-Vertragsgestaltung

Für die Praxis bedeutet der Data Act eine Neuausrichtung der Vertragsgestaltung. Zwischen Dateninhaber und Nutzer ist ein Vertrag zwingend vorgesehen (Art. 4 Abs. 13 DA), der die Datenbereitstellung konkret regelt. Parallel dazu bleibt die DSGVO anwendbar, sodass datenschutzrechtliche Verantwortlichkeiten eindeutig zuzuweisen sind. Unternehmen müssen in ihren Verträgen klarstellen, wer als Verantwortlicher oder Auftragsverarbeiter gilt, wie Rechtsgrundlagen nachgewiesen werden und welche Pflichten im Fall von Datenschutzverletzungen bestehen. Ergänzend sind Freistellungsklauseln und Dokumentationspflichten sinnvoll, um rechtliche Risiken zu minimieren.

Fazit und Handlungsempfehlung

Der Data Act markiert einen Paradigmenwechsel im Umgang mit Unternehmensdaten. Er stärkt die Nutzerrechte, schafft verbindliche Regeln für Datenzugang und Vertragsfairness und eröffnet neue Chancen für datengetriebene Geschäftsmodelle. Gleichzeitig bleiben die hohen Anforderungen der DSGVO bestehen und begrenzen den praktischen Handlungsspielraum. Für Unternehmen bedeutet dies, dass sie ihre bestehenden AGB, Datenverträge und Datenschutzprozesse überprüfen und anpassen müssen.

Wir empfehlen insbesondere folgende Schritte einzuleiten:

• Prüfung bestehender Verträge auf Vereinbarkeit mit Art. 13 DA,
• Anpassung von AGB und Vertragsmustern im Hinblick auf neue Datenzugangsrechte,
• Klärung und vertragliche Zuweisung datenschutzrechtlicher Rollen und Verantwortlichkeiten,
• Implementierung technischer Schnittstellen für einen sicheren Datenzugang,
• Aufbau interner Prozesse zur Prüfung von Rechtsgrundlagen nach DSGVO.

Nur wenn Unternehmen Data-Act- und DSGVO-Vorgaben sauber verzahnen, lassen sich die Chancen des neuen Rechtsrahmens nutzen, ohne die hohen Datenschutzstandards zu verletzen.

Wir unterstützen Sie datenschutzrechtlich: von der Analyse Ihrer Datenflüsse und Rechtsgrundlagen über die Ausgestaltung transparenter Informations- und Einwilligungstexte bis zur Prüfung datenschutzrelevanter Vertragsdokumente (z. B. AVV/DPA, datenschutzbezogene Klauseln) und der Implementierung geeigneter technischer und organisatorischer Maßnahmen.

Lassen Sie uns gemeinsam sicherstellen, dass Ihr Unternehmen datenschutzrechtlich belastbar aufgestellt bleibt und zugleich handlungsfähig ist.

Kontaktieren Sie uns – wir stehen Ihnen als verlässlicher Partner für die Beratung im Datenschutzrecht zur Seite.

RA Sebastian Schwiering
Wissenschaftlicher Mitarbeiter Jamal Lale