Zum Inhalt springen
Vektor-Illustration mehrerer liegender, blauer, gleich großer Quadrate. Zwischen den Quadraten verlaufen weiße Linien.
© Yucel Yilmaz | stock.adobe.com

Data Act – das Datengesetz der EU – im Überblick

Das Wichtigste kompakt

Lesedauer: 6 Minuten

Einen Moment bitte. Ladevorgang läuft ...
0:00
Audio konnte nicht geladen werden. Erneut versuchen
0:00
0:00
Stand: 24.02.2026

1. Allgemeines

Die EU-Verordnung 2023/2854 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung (Data Act) gilt grundsätzlich seit dem 12.9.2025.
Ziel des Data Act ist es, die Informationsversorgung vor allem auf Sekundärmärkten zu verbessern, um zusätzliche Dienstleistungen und Produkte im Interesse der Innovation zu fördern. Das heißt, es soll ein „Binnenmarkt für Daten“ zu fairen Bedingungen geschaffen werden, um „Hindernisse bei der Datenweitergabe“ zu überwinden, um „den Bedürfnissen der digitalen Wirtschaft gerecht zu werden und die Hindernisse für einen reibungslos funktionierenden Binnenmarkt für Daten zu beseitigen“.

2. Behörden und Gerichte

Die allgemeine Zuständigkeit liegt in Österreich im Bundeskanzleramt. Eine speziell für den Data Act „zuständige Behörde“ wurde bisher nicht eingerichtet. Entsprechend gibt es (derzeit) noch keine (speziellen) nationalen Strafbestimmungen aus dem Data Act. Dennoch steht schon jetzt die Möglichkeit von Schadenersatzforderungen im Raum, wenn die neuen Maßstäbe des Data Act ignoriert oder übersehen werden.

3. Betroffenheit

Der Data Act betrifft grundsätzlich

  • vernetzte Produkte (einschließlich der damit verbundenen Dienste) und
  • Datenverarbeitungsdienste.

Das heißt, als Unternehmen prüft man in einem ersten Schritt, ob sein Geschäft etwas mit vernetzten Produkten oder mit Datenverarbeitungsdiensten zu tun hat.
Trifft eines der beiden Dinge zu, ist der Data Act für das Unternehmen relevant. Es könnte aber sein, dass bestimmte Ausnahmen auf das Unternehmen anwendbar sind, wonach der Data Act nicht anwendbar oder es von bestimmten Verpflichtungen entbunden ist.

4. Rollenbilder

Erst wenn eine Betroffenheit festgestellt wurde, ist es sinnvoll, die persönliche Rolle (Personenbezogenheit) zu prüfen. Der Data Act unterscheidet insbesondere zwischen:

  • Dateninhabern (faktischer Zugang zu den Daten)
  • Nutzern (Herr der Rohdaten, die ein vernetztes Produkt oder ein Datenverarbeitungsdienst generiert)
  • Dritten (Datenempfänger; Nutzer können Dritten Datennutzungsrechte einräumen. Der Dateninhaber muss dann auf Ersuchen des Nutzers dem Dritten die Daten weitergeben)

5. Vernetzte Produkte & verbundene Dienste

Ein vernetztes Produkt ist ein „Gegenstand, der Daten über seine Nutzung oder Umgebung erlangt, generiert oder erhebt und der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann ...“.

Ein verbundener Dienst ist ein „digitaler Dienst, bei dem es sich nicht um einen elektronischen Kommunikationsdienst handelt – einschließlich Software – der zum Zeitpunkt des Kaufs, der Miete oder des Leasings so mit dem Produkt verbunden ist, dass das vernetzte Produkt ohne ihn eine oder mehrere seiner Funktionen nicht ausführen könnte oder der anschließend vom Hersteller oder einem Dritten mit dem Produkt verbunden wird, um die Funktionen des vernetzten Produkts zu ergänzen, zu aktualisieren oder anzupassen“.

Nicht umfasst sind allgemeine, reine elektronische Kommunikationsdienste wie SMS der Mobilfunkbetreiber oder WhatsApp, Signal oder Ähnliches. Diese Dienste werden durch andere EU-Vorgaben reguliert.

Beispiel:
Eine Wetterstation, die automatisiert Wetterdaten via SMS an die Telefonnummer eines Empfängers übermittelt, ist nicht umfasst. Sehr wohl aber eine Wetterstation, die über eine eigene App, die vom Käufer installiert werden muss, betrieben und ausgelesen wird. In diesem Fall ist die Wetterstation das vernetzte Produkt – die App der verbundene Dienst.

6. Datenverarbeitungsdienste

Ein Datenverarbeitungsdienst ist „eine digitale Dienstleistung, die einem Kunden bereitgestellt wird und einen flächendeckenden und auf Abruf verfügbaren Netzzugang zu einem gemeinsam genutzten Pool konfigurierbarer, skalierbarer und elastischer Rechenressourcen zentralisierter, verteilter oder hochgradig verteilter Art ermöglicht, die mit minimalem Verwaltungsaufwand oder minimaler Interaktion des Diensteanbieters rasch bereitgestellt und freigegeben werden können“.

Beispiele:
Clouds, Server, Cloud-basierte Software (SaaS), aber auch „digitale Vermögenswerte“.

7. Pflichten für Händler, Hersteller und Anbieter

Der Data Act kann Hersteller, Händler (!) oder beide zu Informationen an den Kunden vor dem Verkauf bzw. Abschluss des Vertrages verpflichten, wie etwa dass es sich um ein vernetztes Produkt handelt, welche Daten es generiert oder wie der Kunde auf die Daten zugreifen und sie speichern kann. Diese Verpflichtungen gelten nicht für Klein- und Kleinstunternehmen als Hersteller, sofern sie selbständig und nicht Bestandteil eines Konzerns sind, und nicht als Subauftragnehmer tätig sind.

Vernetzte Produkte müssen etwa so beschaffen sein, dass die Produktdaten und verbundenen Dienstdaten für den Nutzer einfach, sicher, unentgeltlich in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format und, soweit relevant und technisch durchführbar, direkt zugänglich sind.

Datenverarbeitungsdienste trifft zudem die Verpflichtung vorzusehen, dass der Nutzer seine Daten an Dritte (Datenempfänger) weitergeben kann.

Der Dateninhaber (Ausnahmen für best. Klein- und Kleinstunternehmen als Hersteller) darf Daten, bei denen es sich um nicht-personenbezogene Daten handelt, nur nutzen, wenn darüber ein Vertrag mit dem Nutzer besteht. Diese Verpflichtung bedeutet, dass Daten, die ein Produkt oder eine App laufend generiert, nicht ohne weiteres vom Hersteller bzw. Anbieter zur Weiterentwicklung seines Produkts verwendet werden dürfen – auch wenn sie nicht personenbezogen sind. Üblicherweise werden Nutzungsvereinbarungen durch Setzen von Häkchen beim erstmaligen Anmelden in einer App ohnedies abgeschlossen. Die AGB wären um diese Erlaubnis zu ergänzen.

8. DSGVO, Betriebs- und Geschäftsgeheimnisse

Grundsätzlich gilt die DSGVO uneingeschränkt (für personenbezogene Daten). Das heißt, Einwände nach DSGVO gegen Datenweitergaben haben weiterhin Gültigkeit – auch wenn sich im Data Act nichts explizit dazu findet. Der Data Act regelt darüber hinaus:
Dateninhaber (Hersteller bzw. Datenverarbeitungsdienste) dürfen unter außergewöhnlichen Umständen und bestimmten Bedingungen, Datenzugangs- und  weitergabeverlangen von Nutzern ablehnen, wenn Betriebs- und Geschäftsgeheimnisse gefährdet sind.

Einwände nach DSGVO gelten weiterhin – das heißt, sie dürfen nicht nur zusätzlich vorgebracht werden, sondern sie müssen vorgebracht werden, wenn sie stichhaltig sind.

Torwächtern (=Gatekeeper nach der Definition des Digital Market Act) ist es generell verboten, Daten von Nutzern zu erhalten. Das heißt, Torwächtern gegenüber sind die Daten ohnedies absolut geschützt – ein entsprechendes Datenweitergabeverlangen eines Nutzers wäre daher schon unter bloßem Hinweis auf das Verbot abzulehnen.

Der Dateninhaber darf nicht-personenbezogene Daten nicht verwenden, um daraus Einblicke in die wirtschaftliche Lage, Vermögenswerte und Produktionsmethoden des Nutzers oder in die Nutzung durch den Nutzer auf jegliche andere Art, die die gewerbliche Position dieses Nutzers auf Märkten, auf denen dieser tätig ist, untergraben könnte, zu erlangen.

Datenempfängern (Dritten) ist es grundsätzlich verboten, jene Daten, die sie von Nutzern erhalten, an weitere Dritte weiterzugeben, insb. nicht an Torwächter. Sie dürfen mit diesen Daten auch kein Produkt entwickeln, das mit jenem, von dem die Daten stammen, im Wettbewerb steht (Konkurrenzklausel). Generell darf die Datennutzung durch jene Dritte nur in dem Umfang erfolgen, der vertraglich vereinbart wurde.

9. Anbieterwechsel

Vertragswechselgebühren werden schrittweise abgeschafft und Knebelklauseln verboten. Nutzer sollen ihre Daten und digitalen Vermögenswerte nach einem Wechsel ohne erhebliche Funktionseinschränkungen weiterverwenden können. Anbieter sind daher verpflichtet, den Wechselprozess so zu gestalten, dass eine möglichst hohe Übereinstimmung der Funktionen zwischen dem bisherigen und dem neuen Dienst gewährleistet wird. Dies gilt nicht für kundenspezifische Datenverarbeitungsdienste und Testversionen.

10. Jederzeitige Kündigung - Fristen

Insbesondere muss im Vertrag (in den AGB) die jederzeitige Kündigung eingeräumt werden, wobei die Kündigungsfrist zwei Monate nicht überschreiten darf.

11. Datenbereitstellungsverlangen öffentlicher Stellen

Wenn eine öffentliche Stelle, die Kommission, die Europäische Zentralbank oder eine Einrichtung der Union nachweisen kann, dass sie zur Erfüllung ihrer rechtlichen Aufgaben im öffentlichen Interesse die außergewöhnliche Notwendigkeit besteht bestimmte Daten zu nutzen, müssen die Dateninhaber, bei denen sich diese Daten befinden und bei denen es sich um andere juristische Personen als öffentliche Stellen handelt, diese Daten auf ordnungsgemäß begründeten Antrag hin bereitstellen, wobei die erforderlichen technischen, organisatorischen und rechtlichen Maßnahmen berücksichtigt werden müssen.

12. Mustervertragsklauseln

Im Rahmen der Data Union Strategy legte die Europäische Kommission auch Mustervertragsklauseln vor (derzeit nur englisch).

Weitere interessante Artikel
  • Detailansicht Dokumentenstapel, im Hintergrund verschwommen Person
    Verbraucher­­­rechte: Außer­geschäfts­­­raum­­­ver­träge im Überblick­
    Weiterlesen