Der Data Act (EU) 2023/2854: Überblick und Zielsetzung der neuen Datenverordnung

Mit der am 11. Januar 2024 in Kraft getretenen Datenverordnung – besser bekannt als Data Act – verfolgt die Europäische Union ein zentrales Ziel: Die Schaffung eines fairen, transparenten und innovationsfördernden Rahmens für den Zugang zu und die Nutzung von Daten in der EU. Die Verordnung (EU) 2023/2854 wird ab dem 12. September 2025 (mit teilweisen Übergangsregelungen) in weiten Teilen verbindlich anwendbar sein.

I. Ziel und Anwendungsbereich

Der Data Act soll die Rahmenbedingungen der europäischen Datenwirtschaft neu ordnen. Im Zentrum steht der „faire Datenzugang und eine faire Datennutzung“. Insbesondere sollen

• die Wertschöpfung aus Daten gerechter verteilt,
• die Verfügbarkeit industrieller Daten verbessert und
• die europäische Wettbewerbsfähigkeit gestärkt werden.

Der Data Act verfolgt einen horizontalen Regulierungsansatz, der branchenübergreifend wirkt, aber sektorenspezifische Sonderregelungen zulässt (Art. 44 Abs. 2). Die EU-Kommission erwartet eine zusätzliche Wertschöpfung von jährlich 250 Mrd. Euro.

II. Nutzerzentrierter Ansatz – Wer ist betroffen?

Zentrale Akteure des Data Acts sind:

1. Nutzer (Art. 2 Z 12)

Hierunter fallen Personen, die ein vernetztes Produkt besitzen oder nutzen, z. B. durch Leasing, Miete oder Nutzungsüberlassung. Sie können Verbraucher oder Unternehmer sein.

Der Nutzer steht im Zentrum des Zugangsregimes: Er entscheidet, ob und an wen Daten weitergegeben werden (Art. 4 Abs. 13, 14). Ein nutzerzentrierter Ansatz ersetzt damit das klassische Konzept eines "Dateneigentums".

2. Dateninhaber (Art. 2 Z 13)

Dies sind Unternehmen oder Organisationen, die technisch oder rechtlich in der Lage sind, Daten bereitzustellen – etwa der Hersteller eines smarten Geräts oder Dienstanbieters.

Die Definition ist komplex und wird in der juristischen Diskussion wegen möglicher Zirkelschlüsse und Unschärfen kritisch bewertet. Faktisch entscheidend ist oft, wer über die Datenverarbeitung bestimmt (vgl. Erwägungsgrund 34 und DSGVO-Bezug).

Ausgenommen von den Verpflichtungen zur Datenbereitstellung sind Kleinst- und Kleinunternehmen – es sei denn, sie agieren als Partnerunternehmen oder Unterauftragnehmer (Art. 7).

3. Datenempfänger (Art. 2 Z 14)

Dies sind Dritte, denen auf Wunsch des Nutzers oder aus rechtlicher Verpflichtung Daten bereitgestellt werden. Sie handeln stets gewerblich oder beruflich.

III. Welche Daten sind betroffen?

Erfasst sind "Daten" im Sinne des Art. 2 Z 1 – also jegliche digitale Darstellungen von Handlungen, Informationen oder Tatsachen, auch audiovisuelle Inhalte. Der Data Act unterscheidet insbesondere:

• Produktdaten: von IoT-Geräten generierte Daten (z. B. Nutzungsdauer, Sensordaten)
• Verbundene Dienstdaten: Daten, die durch digitale Dienste erzeugt werden
• Metadaten: Kontextinformationen (z. B. Zeitstempel, Formatangaben)

Nicht umfasst sind dagegen abgeleitete oder analysierte Daten, etwa Prognosen oder KI-generierte Auswertungen.

Daten müssen in Rohform ("raw but usable") und ohne unverhältnismäßigen Aufwand bereitgestellt werden können (Art. 4 Abs. 1).

IV. Geografischer Anwendungsbereich

Auch Unternehmen außerhalb der EU unterliegen dem Data Act, wenn sie vernetzte Produkte oder Dienste in der EU anbieten (Art. 1 Abs. 3 lit. f). Damit wird das Marktortprinzip bestätigt – analog zur DSGVO.

V. Rechtsdurchsetzung und Sanktionen

Der Data Act enthält keine einheitlichen Sanktionsnormen auf EU-Ebene. Vielmehr obliegt es den Mitgliedstaaten, wirksame, verhältnismäßige und abschreckende Sanktionen zu erlassen (Art. 40 Abs. 1).

Allerdings sieht Art. 40 Abs. 4 vor, dass bei bestimmten Verstößen (z. B. gegen Kapitel II, III und V) die nationalen Datenschutzbehörden zuständig sind. Diese dürfen Bußgelder analog zu Art. 83 DSGVO verhängen – bis zu EUR 20 Mio oder 4 % des weltweiten Jahresumsatzes.

Wesentlich praxisrelevanter ist jedoch der privatrechtliche Durchsetzungsweg: Verletzungen des Data Acts können etwa

• Gewährleistungsrechte auslösen,
• einen Wettbewerbsverstoß darstellen (§ 1 UWG) oder
• verbraucherrechtliche Sanktionen ermöglichen.

Art. 38 und 39 gewähren zudem das Recht auf Beschwerde und gerichtlichen Rechtsschutz. Ein immaterieller Schadenersatzanspruch ist hingegen nicht vorgesehen.

Fazit

Der Data Act markiert einen Paradigmenwechsel im europäischen Datenrecht. Er verankert erstmals verbindliche, sektorübergreifende Pflichten zum Datenzugang, stärkt die Rechte der Nutzer und verfolgt das Ziel einer fairen, innovationsfördernden Datenwirtschaft. Gleichzeitig bleibt die praktische Rechtsdurchsetzung – insbesondere im Hinblick auf zivilrechtliche Haftung und Sanktionierung – noch im Aufbau.

Unternehmen, insbesondere im IoT- und Smart-Device-Bereich, sollten ihre Produktgestaltung, Vertragsklauseln und Datenstrategien frühzeitig an die neuen Anforderungen anpassen. Die Übergangsfrist bis September 2025 bietet hierfür ein wertvolles Zeitfenster.

‍