IT-Recht Hamburg

Ab 12.09.2025 gilt der Data Act EU-weit, Mittelstand gefordert

von · Veröffentlicht · Aktualisiert

Ab dem 12. September 2025 gilt der europäische Data Act (Verordnung (EU) 2023/2854) unmittelbar in allen Mitgliedstaaten der Europäischen Union. Diese neue Verordnung stellt einen Meilenstein in der europäischen Datenpolitik dar und verfolgt das Ziel, einen fairen, sicheren und innovationsfreundlichen Datenbinnenmarkt zu schaffen. Für den deutschen Mittelstand bedeutet dies nicht nur neue rechtliche Verpflichtungen, sondern auch strategische Chancen, die es zu erkennen und zu nutzen gilt.

Der Data Act regelt den Zugang zu und die Nutzung von Daten, insbesondere solchen, die durch die Nutzung vernetzter Produkte und verbundener Dienste generiert werden. Im Zentrum steht das Prinzip der Nutzerautonomie: Nutzer – seien es Privatpersonen oder Unternehmen – erhalten ein umfassendes Recht auf Zugang zu den von ihnen erzeugten Daten. Diese Daten dürfen sie auch Dritten zur Verfügung stellen. Hersteller und Anbieter solcher Produkte und Dienste, die sogenannten Dateninhaber, müssen diesen Zugang technisch und organisatorisch ermöglichen. Für mittelständische Unternehmen, die IoT-Produkte entwickeln oder nutzen, bedeutet dies, dass sie sowohl als Dateninhaber als auch als Nutzer betroffen sein können.

Ein zentrales Element des Data Acts ist die Verpflichtung zur Datenportabilität. Anbieter von Cloud- und Edge-Diensten müssen sicherstellen, dass ihre Kunden ihre Daten einfach und ohne technische oder vertragliche Hürden zu einem anderen Anbieter übertragen können. Damit sollen sogenannte Lock-in-Effekte reduziert und der Wettbewerb im Bereich der Dateninfrastrukturen gestärkt werden. Für mittelständische Unternehmen, die auf Cloud-Dienste angewiesen sind, eröffnet dies die Möglichkeit, flexibler auf Marktveränderungen zu reagieren und ihre IT-Strategien unabhängiger zu gestalten.

Besonders relevant für den Mittelstand ist auch das neue Sonder-AGB-Recht für Datennutzungsverträge. Vertragsklauseln, die kleinere Unternehmen unangemessen benachteiligen, gelten künftig als unwirksam. Dies betrifft insbesondere B2B-Verträge, in denen bislang häufig einseitige Regelungen zum Datenzugang und zur Datennutzung zu Lasten kleinerer Vertragspartner getroffen wurden. Der Data Act stärkt hier die Verhandlungsposition mittelständischer Unternehmen und schafft mehr Fairness im Datenökosystem.

Die Umsetzung des Data Acts erfordert jedoch auch konkrete Maßnahmen. Unternehmen müssen ihre bestehenden Verträge auf Konformität mit den neuen Vorgaben prüfen und gegebenenfalls anpassen. Dies betrifft insbesondere Lizenzverträge über die Nutzung von Daten, aber auch allgemeine Geschäftsbedingungen, die den Datenzugang regeln. Darüber hinaus sind technische Vorkehrungen zu treffen, um den Datenzugang und die Datenportabilität sicherzustellen. Dies kann die Entwicklung neuer Schnittstellen, die Anpassung von Datenformaten oder die Einführung von Self-Service-Portalen für Nutzeranfragen umfassen.

Ein weiterer Aspekt betrifft die Informationspflichten gegenüber den Nutzern. Unternehmen müssen künftig transparent darlegen, welche Daten durch die Nutzung ihrer Produkte und Dienste generiert werden, wie diese genutzt werden und wie der Zugang zu diesen Daten erfolgen kann. Diese Informationen müssen klar, verständlich und leicht zugänglich sein. Für den Mittelstand bedeutet dies einen erhöhten Aufwand in der Kundenkommunikation, aber auch die Chance, durch Transparenz Vertrauen aufzubauen und sich positiv vom Wettbewerb abzuheben.

Nicht zu unterschätzen sind auch die datenschutzrechtlichen Implikationen des Data Acts. Zwar betrifft die Verordnung primär nicht-personenbezogene Daten, doch in der Praxis ist eine strikte Trennung oft nicht möglich. Unternehmen müssen daher sicherstellen, dass die Vorgaben des Data Acts mit den Anforderungen der Datenschutz-Grundverordnung (DSGVO) in Einklang stehen. Dies erfordert eine sorgfältige rechtliche Prüfung und gegebenenfalls die Anpassung interner Prozesse und Richtlinien.

Für viele mittelständische Unternehmen stellt die Umsetzung des Data Acts eine erhebliche Herausforderung dar, insbesondere angesichts begrenzter personeller und finanzieller Ressourcen. Gleichzeitig bietet die Verordnung aber auch die Möglichkeit, neue datenbasierte Geschäftsmodelle zu entwickeln, bestehende Prozesse zu optimieren und sich im Wettbewerb besser zu positionieren. Wer frühzeitig handelt und die notwendigen Maßnahmen ergreift, kann sich einen strategischen Vorteil verschaffen.

Ab dem 12. September 2025 müssen Unternehmen also nicht nur rechtskonform handeln, sondern auch operativ in der Lage sein, die neuen Anforderungen umzusetzen. Dazu gehört die Einrichtung interner Zuständigkeiten für das Datenmanagement, die Schulung von Mitarbeitenden, die Anpassung der IT-Infrastruktur sowie die Entwicklung von Strategien zur Datenmonetarisierung. Der Mittelstand ist gut beraten, sich nicht nur auf die Einhaltung der Pflichten zu konzentrieren, sondern auch die Chancen des Data Acts aktiv zu nutzen. Eine Nutzung von Daten ohne vertragliche Grundlage ist ab 12.09.2025 jedenfalls nicht mehr erlaubt.

Insgesamt markiert der Data Act einen Paradigmenwechsel im Umgang mit Daten in Europa. Er verleiht Nutzern mehr Kontrolle, fördert den Wettbewerb und schafft neue Möglichkeiten für Innovation und Wertschöpfung. Für den Mittelstand bedeutet dies einen Balanceakt zwischen Compliance und strategischer Weiterentwicklung. Wer diesen Weg mit Weitblick und Entschlossenheit geht, kann vom Data Act nicht nur betroffen, sondern auch ein Gewinner sein.

Schlagwörter:

Für dich vielleicht ebenfalls interessant …