Der Data Act – Was Softwareanbieter jetzt wissen müssen

Der Data Act – Was Softwareanbieter jetzt wissen müssen

Am 12. September 2025 trat der Data Act (Verordnung EU 2023/2854) in Kraft. Diese neue EU-Verordnung ist ein zentraler Baustein der europäischen Datenstrategie und betrifft nahezu alle Anbieter vernetzter Produkte und digitaler Dienste – insbesondere Softwareunternehmen, SaaS-Anbieter und Cloud-Plattformen.

Ziel des Data Acts ist es, den Zugang zu und die Nutzung von Daten fairer zu gestalten. Die Verordnung stärkt die Datenhoheit der Nutzer und verpflichtet Anbieter dazu, technische und vertragliche Rahmenbedingungen für einen transparenten und sicheren Datenzugang zu schaffen.

Wer ist betroffen?

Der Data Act unterscheidet drei zentrale Rollen:

• Nutzer: Personen oder Unternehmen, die ein vernetztes Produkt besitzen oder berechtigt nutzen.
• Dateninhaber: Anbieter, die technisch oder rechtlich in der Lage sind, Daten bereitzustellen.
• Datenempfänger: Dritte, denen Daten vom Dateninhaber zur Verfügung gestellt werden – etwa Dienstleister, Behörden oder andere Unternehmen.

Softwareanbieter sind regelmäßig als Dateninhaber zu qualifizieren, wenn sie Plattformen oder Dienste betreiben, die Nutzerdaten generieren oder verarbeiten.

Welche Daten sind umfasst?

Der Data Act betrifft insbesondere:

• Produktdaten (z. B. Sensordaten, Nutzungsdauer)
• Daten aus verbundenen Diensten (z. B. Cloud-Nutzung, API-Calls)
• Metadaten (z. B. Zeitstempel, Formatinformationen)

Nicht umfasst sind hingegen abgeleitete oder analysierte Daten, die durch zusätzliche Investitionen entstehen. Entscheidend ist, ob die Daten „ohne Weiteres verfügbar“ sind – also ohne unverhältnismäßigen Aufwand bereitgestellt werden können.

Neue Pflichten für Softwareanbieter

1. Access by Design

Software muss künftig so gestaltet sein, dass Nutzer ihre Daten direkt abrufen können – etwa über ein Dashboard, eine API oder ein Export-Tool.

2. Vertragsklarheit

Daten dürfen nur auf Grundlage eines Vertrags mit dem Nutzer an Dritte weitergegeben werden. Dies betrifft insbesondere Analyse- und Marketingzwecke.

3. Technische Dokumentation

Anbieter müssen dokumentieren, welche Daten verarbeitet werden, wie sie gespeichert sind und wie der Zugriff erfolgt. Eine „Bill of Materials“ für Daten kann hier ein sinnvolles Instrument sein.

4. Datenschutz und Sicherheit

Bei gemischten Datensätzen (personenbezogene und nicht-personenbezogene Daten) gelten zusätzliche Anforderungen. Die DSGVO bleibt voll anwendbar.

Handlungsempfehlung: Jetzt vorbereiten

Der Data Act ist kein reines Datenschutzgesetz, sondern ein wirtschaftsrechtlicher Hebel mit Compliance-Pflichten. Unternehmen sollten jetzt prüfen:

• Ist meine Software ein vernetztes Produkt oder ein verbundener Dienst?
• Können Nutzer ihre Daten direkt abrufen?
• Sind meine Verträge Data-Act-konform?
• Habe ich eine technische Dokumentation über die Datenverarbeitung?
• Sind meine Datenschutzprozesse auf Mixed-Datasets vorbereitet?

Fazit

Der Data Act verändert die Spielregeln für den Umgang mit Nutzerdaten. Wer frühzeitig handelt, kann rechtliche Risiken vermeiden und sich Wettbewerbsvorteile sichern. Gerne unterstütze ich Sie bei der Prüfung Ihrer Software, der Vertragsgestaltung oder der technischen Umsetzung.

📩 Kontakt: anfrage@digital-recht.at

‍