Ab dem 12. September 2026 müssen alle neu in Verkehr gebrachten vernetzten Produkte in der EU so gestaltet sein, dass Nutzer einfach, sicher und strukturiert auf die durch das Produkt erzeugten Daten zugreifen können. Das schreibt der EU Data Act (Verordnung (EU) 2023/2854) vor. Hersteller von IoT-Geräten, smarten Maschinen und vernetzten Alltagsprodukten stehen damit vor erheblichem Handlungsbedarf – sowohl technisch als auch rechtlich und vertraglich. Die Kanzlei Wetzel erklärt, was der Data Act bedeutet, wen er betrifft und was bis zum Stichtag zu tun ist.

Das Wichtigste auf einen Blick

• Datenzugangspflicht ab 12. September 2026: Neue vernetzte Produkte müssen so gestaltet sein, dass Nutzer direkt oder indirekt auf die generierten Daten zugreifen können.
• Betroffen: Hersteller, Importeure und Händler vernetzter Produkte sowie Anbieter damit verbundener digitaler Dienste – unabhängig vom Unternehmenssitz, sofern Produkte in der EU vertrieben werden.
• Ausnahmen für kleine Unternehmen: Unternehmen mit weniger als 50 Mitarbeitenden und maximal 10 Mio. Euro Jahresumsatz können unter bestimmten Voraussetzungen ausgenommen sein.
• Vertragliche Anpassungen erforderlich: Nutzungsbedingungen, Kauf-, Lizenz- und SaaS-Verträge müssen auf Data-Act-Konformität überprüft und angepasst werden.
• Koordination mit DSGVO, CRA und AI Act: Der Data Act ergänzt bestehende EU-Regulierung und muss mit diesen abgestimmt werden.
• Sanktionen: Als Orientierungsrahmen gelten Bußgelder bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes.

„Der EU Data Act ist eine der bedeutendsten Regulierungen im europäischen Datenrecht der letzten Jahre. Er verändert grundlegend, wer auf welche Daten Zugriff hat – und verpflichtet Hersteller, Datenzugang von Anfang an in ihre Produkte zu integrieren.“

Was ist der EU Data Act?

Der EU Data Act (Verordnung (EU) 2023/2854) ist am 11. Januar 2024 in Kraft getreten und regelt den Zugang zu und die Nutzung von Daten, die durch vernetzte Produkte und damit verbundene digitale Dienste erzeugt werden. Ziel ist es, den Datenaustausch in Europa zu fördern, Nutzern mehr Kontrolle über ihre Daten zu geben und monopolistische Datenstrukturen zu durchbrechen.

Der Data Act ist Teil der europäischen Datenstrategie und ergänzt bestehende Regelwerke:

• DSGVO: Schützt personenbezogene Daten – gilt weiterhin parallel, wenn Produktdaten Personenbezug haben.
• Cyber Resilience Act (CRA): Regelt Cybersicherheitsanforderungen für vernetzte Produkte. Weitere Informationen finden Sie in unserem Beitrag zum Cyber Resilience Act.
• EU AI Act: Regelt den Einsatz von KI-Systemen. Mehr dazu in unserem Beitrag zum EU AI Act.

Wen betrifft der EU Data Act?

Der Data Act richtet sich an alle Akteure in der Lieferkette vernetzter Produkte und digitaler Dienste:

Hersteller vernetzter Produkte – von der Smart Watch über vernetzte Haushaltsgeräte bis zur Industriemaschine – tragen die Hauptverantwortung. Sie müssen sicherstellen, dass ihre Produkte ab dem 12. September 2026 die Datenzugangspflichten technisch erfüllen.

Importeure bringen vernetzte Produkte aus Drittstaaten in den EU-Markt und haften dafür, dass die importierten Produkte den Data-Act-Anforderungen entsprechen.

Händler müssen vor dem Inverkehrbringen prüfen, ob die Datenzugangs- und Informationspflichten des Data Act eingehalten sind.

Cloud- und SaaS-Anbieter, deren Dienste in Verbindung mit vernetzten Produkten erbracht werden, unterliegen ebenfalls den Anforderungen des Data Act – insbesondere den Wechselpflichten nach Kapitel VI.

Was ändert sich ab dem 12. September 2026?

Der Data Act trat stufenweise in Kraft. Die meisten Bestimmungen – darunter Regeln zu Datenportabilität, B2G-Datenweitergabe und Smart Contracts – gelten bereits seit dem 12. September 2025. Der entscheidende Stichtag für Hersteller vernetzter Produkte ist der 12. September 2026: Ab diesem Datum müssen neu in Verkehr gebrachte vernetzte Produkte und verbundene digitale Dienste so konzipiert und hergestellt sein, dass Nutzer Zugang zu den generierten Daten haben.

Nicht betroffen sind zunächst Produkte, die vor dem 12. September 2026 rechtmäßig in Verkehr gebracht wurden. Achtung: Wer ein bestehendes Produkt nach diesem Datum wesentlich modifiziert, muss prüfen, ob die modifizierte Version als neues Produkt gilt.

Pflichten der Hersteller: Direkter und indirekter Datenzugang

Das Kernstück des Data Act für Hersteller ist die Pflicht zur Datenzugänglichkeit. Die Verordnung unterscheidet zwei Formen:

Direkter Datenzugang (Art. 4 Data Act): Vernetzte Produkte müssen technisch so gestaltet sein, dass Nutzer direkt – vom Gerät oder über einen zugehörigen Server – auf die generierten Daten zugreifen können, ohne den Hersteller als Mittler einschalten zu müssen.

Indirekter Datenzugang (Art. 5 Data Act): Ist ein direkter Zugang technisch nicht möglich oder unverhältnismäßig aufwendig, muss der Dateninhaber die Daten auf Anfrage des Nutzers unverzüglich, kostenlos und in maschinenlesbarem Format zur Verfügung stellen.

Nutzer können zudem verlangen, dass ihre Daten an einen Dritten weitergegeben werden – etwa an einen unabhängigen Wartungsdienstleister. Dieser Dritte darf die Daten jedoch nicht nutzen, um direkt konkurrierende Produkte zu entwickeln.

Ausnahmen für Kleinstunternehmen und kleine Unternehmen

Der EU Data Act sieht wichtige Erleichterungen für kleinere Unternehmen vor. Von den Datenzugangspflichten nach Art. 4 und 5 Data Act ausgenommen sind unter bestimmten Bedingungen:

• Kleinstunternehmen: Weniger als 10 Beschäftigte und Jahresumsatz unter 2 Mio. Euro.
• Kleine Unternehmen: Weniger als 50 Beschäftigte und Jahresumsatz unter 10 Mio. Euro.

Diese Ausnahme gilt jedoch nicht uneingeschränkt:

• Verbundene Unternehmen oder Tochtergesellschaften größerer Konzerne können die Ausnahme ggf. nicht in Anspruch nehmen.
• Unternehmen, die als Unterauftragnehmer für die Konzeption oder Herstellung vernetzter Produkte tätig sind, fallen ebenfalls unter die Data-Act-Pflichten.
• Wer stark wächst und die Schwellenwerte überschreitet, verliert den Ausnahmetatbestand.

Empfehlung: Auch wenn Ihr Unternehmen aktuell unter die Ausnahmeregelung fällt, sollten Sie Ihre Produkte und Prozesse frühzeitig auf Data-Act-Konformität vorbereiten.

Vertragliche Anpassungen: Handlungsbedarf jetzt

Der Data Act stellt nicht nur technische, sondern auch erhebliche vertragliche Anforderungen. Folgende Verträge sollten geprüft und angepasst werden:

• Nutzungs- und Kaufbedingungen: Informationspflichten über das Recht der Datenweitergabe müssen aufgenommen werden.
• Lizenz- und Datenweitergabeverträge: Die Bedingungen für die Weitergabe von Nutzerdaten an Dritte müssen klar geregelt sein.
• SaaS- und Cloud-Verträge: Anbieter cloudbasierter Dienste in Verbindung mit vernetzten Produkten müssen die Datenzugangsrechte vertraglich sicherstellen.
• Lieferantenverträge: Data-Act-Pflichten müssen entlang der Lieferkette auf Vorlieferanten übertragen werden.

Sanktionen bei Verstößen gegen den EU Data Act

Der Data Act überträgt die Durchsetzung und Sanktionierung an die Mitgliedstaaten. Als Orientierungsrahmen gilt:

• Bußgelder bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes
• Unterlassungsansprüche von Wettbewerbern und Verbraucherschutzverbänden
• Schadensersatzansprüche betroffener Nutzer

„Wer als Hersteller vernetzter Produkte erst nach dem 12. September 2026 beginnt, seine Produkte auf den Data Act auszurichten, hat bereits wertvolle Zeit verloren. Die Produktentwicklung und Vertragsgestaltung muss jetzt angepasst werden – nicht nach der Markteinführung.“

So hilft die Kanzlei Wetzel beim EU Data Act

Als auf IT-Recht, Datenschutz und Vertragsrecht spezialisierte Kanzlei unterstützt die Kanzlei Wetzel Hersteller, Importeure, Händler und Dienstleister bei der Vorbereitung auf den EU Data Act:

• Betroffenheitsanalyse: Prüfung, ob und in welchem Umfang der Data Act auf Ihr Unternehmen anwendbar ist – und ob Ausnahmen für kleine Unternehmen greifen.
• Produktgestaltung: Rechtliche Beratung zur Umsetzung der Datenzugangspflichten in der Produktentwicklung.
• Vertragsgestaltung und -prüfung: Anpassung von Nutzungsbedingungen, Kauf-, SaaS- und Lieferantenverträgen an die Data-Act-Anforderungen. Mehr zu unseren Leistungen finden Sie auf unserer Leistungsseite.
• Koordination mit DSGVO, CRA und AI Act: Abstimmung der Data-Act-Pflichten mit bestehenden datenschutz- und sicherheitsrechtlichen Anforderungen.
• Schulungen und Workshops: Sensibilisierung Ihrer Teams für die Anforderungen des Data Act.

Besuchen Sie auch unseren „Blog – Recht einfach“, in dem wir juristisch fundierte, aber dabei allgemeinverständliche Artikel zu aktuellen Rechtsthemen veröffentlichen – täglich und tagesaktuell!

Häufige Fragen (FAQ)