16.12.2025
Prof. Dr. Anne Paschke leitet an der TU Braunschweig den Lehrstuhl für Öffentliches Recht, Technikrecht und Recht der Digitalisierung und ist dort zugleich Direktorin des Instituts für Rechtswissenschaften. Ihre Forschungsschwerpunkte liegen im Recht der Digitalisierung, Daten(schutz)recht, Medienrecht und IT-Sicherheitsrecht.
Dr. Pascal Schumacher ist Partner bei der Kanzlei NOERR und leitet die Praxisgruppe Data, Tech & Telecoms. Er berät Industrieunternehmen ebenso wie Tech‑Start‑ups zu Projekten, Kooperationen und Transaktionen mit den Schwerpunkten Daten, Technologie, Telekommunikation und Infrastruktur.
16.12.2025
Der EU Data Act ist seit dem 12. September 2025 unmittelbar anwendbar. Für Unternehmen, Juristinnen und Juristen sowie IT-Verantwortliche bringt der Data Act weitreichende Pflichten und neue Chancen mit sich. Univ.-Prof. Dr. Anne Paschke, Professorin für Öffentliches Recht, Technikrecht und Recht der Digitalisierung und Direktorin des Instituts für Rechtswissenschaften an der Technischen Universität Braunschweig, sowie Rechtsanwalt Dr. Pascal Schumacher, Partner bei der Kanzlei NOERR, beantworten gemeinsam die wichtigsten Fragen. Sie sind zugleich Herausgeber des juristischen Kommentars »EU Data Act«, der im Verlag C.H.BECK erscheint.
Was ist das zentrale Ziel des EU Data Act?
Der Data Act soll den Zugang zu Daten in Europa neu ordnen. Im Kern geht es darum, Daten als Wirtschaftsgut verfügbar zu machen, und zwar fair, interoperabel und unter Wahrung von Rechten Dritter. Während die DSGVO den Schutz personenbezogener Daten regelt, adressiert der Data Act den Zugang zu nicht personenbezogenen und gemischten Daten. Ziel ist es, die enormen Datenmengen, die etwa durch vernetzte Produkte und IoT-Dienste entstehen, für Unternehmen, Verbraucher und den Staat besser nutzbar zu machen. Das ist ein Paradigmenwechsel: weg von exklusivem Datenbesitz, hin zu einer Pflicht zur Datenweitergabe in bestimmten Fällen. Der Data Act ist damit neben der DSGVO das »zweite große Regelwerk« der EU für die digitale Wirtschaft.
Welche konkreten Pflichten ergeben sich nun für Unternehmen?
Unternehmen müssen zunächst prüfen, ob sie Dateninhaber im Sinne des Data Act sind, also Kontrolle über Daten aus der Nutzung eines vernetzten Produkts oder eines verbundenen Dienstes haben. Solche Dateninhaber sind verpflichtet,
Daneben treffen Hersteller neue Design- und Informationspflichten: Produkte müssen so konzipiert sein, dass die Datennutzung technisch überhaupt möglich ist. Schließlich enthält der Data Act besondere Regeln für Cloud-Anbieter, etwa zur Datenportabilität, Interoperabilität und zur Vermeidung von Lock-in-Effekten. Für viele Unternehmen heißt das: bestehende Vertragswerke, technische Schnittstellen und Datenstrategien müssen grundlegend überarbeitet werden.
Welche Branchen sind besonders betroffen – und warum?
Am stärksten betroffen sind Branchen mit datenintensiven, vernetzten Produkten:
Gemeinsam ist all diesen Sektoren, dass Daten zur zentralen Ressource der Wertschöpfung werden, und der Data Act dazu zwingt, diese Ressource künftig zu teilen.
»Unternehmen müssen zunächst prüfen, ob sie Dateninhaber im Sinne des Data Act sind, also Kontrolle über Daten aus der Nutzung eines vernetzten Produkts oder eines verbundenen Dienstes haben.«
Haben Sie ein konkretes Beispiel?
Ein Beispiel ist das vernetzte Auto. Bislang fließen die Fahrdaten in der Regel ausschließlich an den Hersteller, der sie für Wartung, Entwicklung oder Versicherungsauswertungen nutzt. Nach dem Data Act muss der Fahrzeughersteller künftig auch dem Fahrzeughalter oder einer von ihm benannten Versicherung Zugriff auf diese Daten ermöglichen – etwa, um alternative Versicherungsangebote anzubieten. Für Hersteller bedeutet das zugleich, dass sie ihre Datenschnittstellen und Vertragsbedingungen neu gestalten müssen.
Gilt denn der EU Data Act für alle Unternehmen, oder gibt es Ausnahmen?
Der Data Act gilt grundsätzlich für alle Unternehmen, die in der EU vernetzte Produkte oder dazugehörige Dienste anbieten. Entscheidend ist nicht der Sitz des Unternehmens, sondern der Marktort: Wer Produkte oder Dienste in der EU vertreibt oder hier Datenzugang anbietet, fällt in den Anwendungsbereich – auch, wenn das Unternehmen außerhalb der EU ansässig ist. Allerdings sieht der Data Act mehrere Ausnahmen und Differenzierungen vor. So sind etwa Kleinst- und kleine Unternehmen weitgehend von den Pflichten zur Datenbereitstellung befreit, um sie nicht unverhältnismäßig zu belasten. Ebenso gelten besondere Regeln für öffentliche Stellen, die Daten nur unter engen Voraussetzungen anfordern dürfen, etwa in Krisenfällen oder bei rechtlicher Verpflichtung.
Wie lässt sich der Data Act mit bestehenden Regelungen wie der DSGVO vereinbaren?
Der Data Act baut auf der DSGVO auf, soll aber nicht im Widerspruch zu ihr stehen. Beide Regelwerke sollen nach dem Willen des Gesetzgebers vielmehr ineinandergreifen. Wo personenbezogene Daten betroffen sind, bleibt die DSGVO vorrangig – etwa bei der Rechtsgrundlage der Verarbeitung oder bei Betroffenenrechten. Der Data Act ergänzt diese Perspektive um den Zugangs- und Nutzungsaspekt: Er schafft einen Anspruch, Daten überhaupt zu erhalten, und regelt, wie diese weitergegeben werden dürfen.
In der Praxis wird das nach unserer Erwartung zu erheblichen Überschneidungen und Abgrenzungsproblemen führen. Viele Datensätze, insbesondere im IoT-Umfeld, enthalten sowohl personenbezogene als auch nicht personenbezogene Elemente. Unternehmen müssen daher prüfen, ob sie Daten anonymisieren können, um sie im Rahmen des Data Act weiterzugeben, oder ob eine datenschutzrechtliche Einwilligung oder ein anderes Erlaubnistatbestandskonzept erforderlich ist. Auch Verantwortlichkeiten überschneiden sich: Wer ist »Dateninhaber« nach dem Data Act, wer »Verantwortlicher« im Sinne der DSGVO – und wie lassen sich beide Rollen vertraglich und organisatorisch trennen? Hier bestehen noch viele offene Fragen, etwa bei Cloud-Providern oder Herstellern vernetzter Geräte, die sowohl eigene als auch fremde Daten verarbeiten. Für Rechtsanwender bedeutet das: Der Data Act lässt sich nicht isoliert anwenden. Seine Umsetzung erfordert ein integriertes Compliance-Verständnis, das Datenschutz, Datenzugang, Vertragsgestaltung und IT-Sicherheit zusammenführt.
Welche rechtlichen Fallstricke sehen Sie aktuell bei der Umsetzung?
Die größten Risiken liegen in der praktischen Übersetzung der abstrakten Vorgaben in Unternehmensprozesse. Schon die Abgrenzung, welche Daten unter die Zugangs- und Bereitstellungspflichten fallen, ist komplex: Viele Datensätze sind »hybrid« und enthalten personenbezogene, technische und vertrauliche Informationen zugleich. Unternehmen müssen daher regelmäßig eine dreifache Prüfung nach Data Act, DSGVO und Geschäftsgeheimnisrecht vornehmen – ein erheblicher Aufwand in der Praxis.
Ein weiterer Stolperstein ist die Rollenabgrenzung. Der Data Act unterscheidet Dateninhaber, Datennutzer und Empfänger; die DSGVO kennt Verantwortliche und Auftragsverarbeiter. Diese Kategorien decken sich selten. Wer etwa als Hersteller und Cloud-Anbieter agiert, kann in verschiedenen Rollen unterschiedlichen Pflichten unterliegen – das muss klar dokumentiert und vertraglich fixiert werden. Schließlich ist auch der Vollzug noch unklar. Die Mitgliedstaaten benennen unterschiedliche Aufsichtsbehörden – teils Datenschutz-, teils Wettbewerbsstellen. Das schafft ein fragmentiertes Umfeld und erschwert die Compliance-Planung. Unternehmen müssen ihre Daten-Governance ganzheitlich ausrichten, um Überschneidungen und Haftungsrisiken wirksam zu steuern.
»Wer Produkte oder Dienste in der EU vertreibt oder hier Datenzugang anbietet, fällt in den Anwendungsbereich - auch, wenn das Unternehmen außerhalb der EU ansässig ist.«
Welche Strafen drohen bei Verstoß?
Der Data Act sieht Geldbußen vor, die sich an den Mechanismen der DSGVO orientieren. Die Mitgliedstaaten legen die genauen Bußgeldrahmen fest, die teilweise bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes betragen können. Daneben drohen zivilrechtliche Ansprüche etwa auf Herausgabe von Daten oder Unterlassung bei unzulässigen Klauseln.
Was empfehlen Sie Juristinnen und Juristen in Unternehmen jetzt konkret?
Zunächst: Transparenz schaffen. Unternehmen sollten ihre Datenflüsse kartieren, welche Daten entstehen, wer hat Zugriff, wem werden sie überlassen? Zweitens: Vertragliche und technische Strukturen prüfen. Bestehende AGB, Datenlizenzverträge und Cloud-Klauseln müssen auf Data-Act-Konformität überprüft werden.
Drittens: Compliance-Governance aufbauen. Die Schnittstellen zwischen Datenschutz, IT-Sicherheit und Datenmanagement müssen künftig enger verzahnt sein.
Und schließlich: Chancen nutzen. Der Data Act ist nicht nur eine Compliance-Pflicht, sondern eröffnet neue Geschäftsmodelle – etwa datengetriebene Kooperationen oder innovative Services. Wer frühzeitig investiert, kann aus der Pflicht zur Datenweitergabe eine strategische Stärke machen.
Vielen Dank für das Gespräch.
------------------------------------------------------------------------------------------------------------------------
EU Data Act – bestens informiert mit den neuen Kommentaren.
Paschke/Schumacher
EU Data Act
2026. XXI, 669 Seiten.
Gebunden € 149,–
ISBN 978-3-406-82815-7
Neu im November 2025
Für den schnellen Zugriff auf den EU Data Act
Der kompakte Kommentar aus der Reihe der gelben Erläuterungsbücher bereitet alle Normen des Data Act übersichtlich, wissenschaftlich fundiert und mit einem hohen Praxisbezug auf und unterstützt die Nutzerinnen und Nutzer dabei, im Berufsalltag einen schnellen und gut verständlichen Zugang zu der Verordnung zu erhalten. Die Herausgebenden Prof. Dr. Anne Paschke und Rechtsanwalt Pascal Schumacher sowie das Autorenteam sind erfahrene Expertinnen und Experten aus Wissenschaft und Praxis.
-----------------------------------------------------
Bomhard/Schmidt-Kessel
EU Data Act
2026. Rund 900 Seiten.
Gebunden ca. € 189,–
ISBN 978-3-406-81135-7
Neu im Dezember 2025
Der EU Data Act ausführlich kommentiert
Die Neuerscheinung bietet eine ausführliche, wissenschaftlich fundierte und gleichzeitig übersichtliche Kommentierung aller Normen des EU Data Acts – verständlich dargestellt anhand von Praxisbeispielen. Eine
eingehende Einleitung durch die Herausgeber Rechtsanwalt Dr. David Bomhard und Prof. Dr. Martin Schmidt-Kessel rundet das Werk ab. Das Autorenteam setzt sich zusammen aus international tätigen Expertinnen und Experten aus Wissenschaft und Praxis.
-----------------------------------------------------
Czychowski/Lettl/Steinrötter
Data Act
2025. XXXIV, 854 Seiten.
Gebunden € 139,–
ISBN 978-3-406-82090-8
Neu im Oktober 2025
Der kompakte Zugang zum EU Data Act
Der handliche Kommentar erläutert den Data Act in kompakter und praxisgerechter Weise. Die Erstausgabe bietet fundierte Kommentierungen eines erfahrenen Autorenteams aus Wissenschaft und Praxis. Sie enthält
dabei konzentrierte Informationen für Rechtsanwenderinnen und Rechtsanwender und gewährleistet eine hohe Aktualität der Inhalte. Das neue Werk aus der Reihe der Beck'schen Kompakt-Kommentare wird herausgegeben von Rechtsanwalt Prof. Dr. Christian Czychowski, Prof. Dr. Tobias Lettl, LL.M., sowie Prof. Dr. Björn Steinrötter.
-----------------------------------------------------
Schreiber/Pommerening/Schoel
New Data Act
2026. Approx. 220 pages.
Hardcover approx. € 130,–
ISBN 978-3-406-83136-2
New in December 2025
Practitioner's Guide to the EU Data Act
Written in English, this Practitioner’s Guide provides essential guidance to the new EU Data Act, in particular the
The authors are legal practitioners specialising in data protection
and IT law.
Dieser Beitrag erschien zuerst in unserem Kundenmagazin beck-aktuell. Sie können das Magazin hier kostenlos abonnieren.
