Die Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung (Verordnung (EU) 2023/2854; „EU Data Act“) ist am 11. Jänner 2024 in Kraft getreten und nach einer Übergangsfrist seit dem 12. September 2025 direkt anwendbar. Der EU Data Act enthält eine Vielzahl von Bestimmungen mit dem Ziel, in unterschiedlichen Lebensbereichen künftig Daten mehr und besser nutzen zu können. Er ergänzt die DSGVO, die primär personenbezogene Daten schützt, indem er sich stärker auf industrielle und nicht-personenbezogene Daten konzentriert. Ziel ist die Förderung der europäischen Datenökonomie, mehr Innovation durch Datenzugang, fairere Wettbewerbsbedingungen und stärkere Kontrolle für Nutzer.

Der EU Data Act betrifft eine ganze Reihe von Akteuren, wie insbesondere Hersteller vernetzter Produkte wie Maschinen verschiedenster Art, Autos oder Smart-Home-Geräte, sowie Dateninhaber, Nutzer und Anbieter von Datenverarbeitungsdiensten.

Im Mittelpunkt des EU Data Act steht das Recht von Nutzern vernetzter Produkte und Dienste, unmittelbar auf die erzeugten Daten zuzugreifen. Der Dateninhaber muss hierfür kostenlos, bei Bedarf kontinuierlich und möglichst in Echtzeit Zugang gewähren. Hersteller sind zudem verpflichtet, bereits vor Vertragsabschluss klar und verständlich offenzulegen, welche Daten erhoben werden, wofür sie genutzt werden, wer darauf zugreifen darf und wie der Nutzer selbst Zugang erhält. Außerdem benötigen Unternehmen eine vertragliche Grundlage, um die generierten Daten selbst verwenden zu dürfen. Nutzer können aber auch verlangen, dass ihre Daten an Dritte weitergegeben werden. In diesem Fall muss zwischen Dateninhaber und dem Dritten ein Datenbereitstellungsvertrag abgeschlossen werden. Die Weitergabe der Daten darf nur zu fairen, angemessenen und nichtdiskriminierenden Bedingungen erfolgen. Darüber hinaus sieht der EU Data Act ein allgemeines Verbot missbräuchlicher Vertragsklauseln vor. Dazu zählen beispielsweise Vertragsbestimmungen, die den Datenzugang oder die Datennutzung für Dritte auf unangemessene Weise einschränken, insbesondere bei einem Ungleichgewicht der Verhandlungsmacht. Damit Geschäftsgeheimnisse bei der Datenweitergabe gewahrt bleiben, sieht der EU Data Act vor, dass alle erforderlichen Maßnahmen getroffen werden müssen. Dazu zählen insbesondere technische und organisatorische Maßnahmen sowie auch Geheimhaltungsvereinbarungen, die mit dem Nutzer bzw. dem Dritten abzuschließen sind, bevor Daten offengelegt werden.

Auch für Anbieter von Datenverarbeitungsdiensten wie Cloud- und Edge-Dienste bringt die Verordnung weitreichende Folgen. Sie müssen einen Anbieterwechsel technisch und organisatorisch erleichtern, die Kündigung bestehender Verträge wird vereinfacht, Wechselentgelte werden schrittweise abgeschafft. Es werden Standards für Interoperabilität und Datensouveränität geschaffen.

Zusammengefasst müssen vom EU Data Act betroffene Unternehmen, um Verstöße und die damit verbundenen Bußgelder zu vermeiden, zunächst prüfen, welche Daten durch ihre vernetzten Produkte oder Dienste entstehen. Außerdem ist zu klären, wie diese Daten technisch bereitgestellt und weitergegeben werden können und wie Nutzer vorab darüber informiert werden. Des Weiteren müssen sie dafür sorgen, dass Nutzungs- und Datenbereitstellungsverträge vorhanden sind, die den Vorgaben des EU Data Acts entsprechen. Gleichzeitig ist sicherzustellen, dass Geschäftsgeheimnisse etwa durch technische Maßnahmen und entsprechende Geheimhaltungsvereinbarungen wirksam geschützt werden. Unternehmen, die nach dem EU Data Act Daten bereitstellen, müssen zudem parallel prüfen, ob die DSGVO eingehalten wird.