Der EU Data Act 2025 – Pflichten, Sanktionen & Chancen für Unternehmen

Der EU Data Act 2025, der am 12. September 2025 vollständig in Kraft tritt, ist ein bedeutender Schritt zur Regulierung des digitalen Binnenmarkts. Die neue Verordnung bringt für Unternehmen nahezu jeder Größe umfassende Änderungen mit sich. Sie stärkt die Rechte der Nutzer, schafft klare Pflichten für Dateninhaber und standardisiert den Umgang mit vernetzten Produkten, digitalen Diensten und Cloud-Plattformen.

Für viele Unternehmen ist der Data Act 2025 mehr als nur eine neue Regulierung – er ist ein Wendepunkt für Datenzugang, Verantwortung und Innovationsfähigkeit. Dieser Beitrag zeigt, welche konkreten Data Act Pflichten auf Unternehmen zukommen, welche Sanktionen bei Verstößen drohen und wie das Zusammenspiel mit der DSGVO praktisch funktioniert.

In diesem Beitrag erfährst du:

• Welche Pflichten der EU Data Act 2025 für Unternehmen bringt
• Welche Sanktionen bei Verstößen drohen
• Wie sich der Data Act 2025 mit der DSGVO überschneidet
• Welche Übergangsregelungen für KMU gelten

Ziele und Reichweite des EU Data Act 2025

Der EU Data Act 2025 ist Teil der umfassenden europäischen Datenstrategie und verfolgt das Ziel, Daten fairer und nutzbarer zu machen. Während die DSGVO den Schutz personenbezogener Daten im Fokus hat, geht es im Data Act darum, wirtschaftlich relevante – oft nicht personenbezogene – Daten transparent zugänglich zu machen. Unternehmen sollen nicht länger alleinige Kontrolle über Nutzungsdaten haben, sondern diese auf Anfrage bereitstellen.

Der Geltungsbereich ist weit: Der EU Data Act 2025 betrifft nicht nur Unternehmen innerhalb der Europäischen Union. Auch Anbieter aus Drittstaaten, die Produkte oder Dienste im europäischen Raum anbieten, unterliegen den Regeln – dank des sogenannten Marktortprinzips, welches bereits aus der DSGVO bekannt ist.

Data Act Pflichten für Unternehmen im Überblick

Die Pflichten aus dem Data Act 2025 sind umfangreich und betreffen mehrere Rollen:

• Hersteller vernetzter Geräte
• Anbieter digitaler Dienste und Cloud-Lösungen
• Nutzer solcher Produkte und Services
• Dateninhaber
• Datenempfänger, etwa Analyse- oder Plattformanbieter
• Öffentliche Stellen mit besonderem Zugriffsrecht
• Smart-Contract-Anbieter und Datenraum-Plattformen

Ein zentrales Prinzip lautet: Nutzer sollen jederzeit Zugang zu den sie betreffenden Daten erhalten, kostenlos, sicher und im strukturierten, maschinenlesbaren Format. Auch Metadaten müssen offengelegt werden.

Neue Nutzerrechte – mehr Verantwortung für Anbieter

Hersteller und Anbieter sind verpflichtet, bereits vor Vertragsabschluss umfassend über die Datennutzung aufzuklären: Welche Daten werden erhoben? Wer speichert sie? Wie kann der Nutzer darauf zugreifen? Dies betrifft insbesondere vernetzte Produkte, bei denen Gerätedaten automatisch erzeugt und verarbeitet werden.

Wird die Datenweitergabe vom Nutzer verlangt, müssen Dateninhaber diese innerhalb kurzer Fristen bereitstellen – es sei denn, Sicherheitsinteressen oder der Schutz von Geschäftsgeheimnissen sprechen dagegen. Dabei müssen klare Prozesse etabliert werden, insbesondere für Drittempfänger.

Konfliktpotenzial mit der DSGVO

Ein besonders kritischer Punkt ist der DSGVO Konflikt, der durch das Nebeneinander von Datenschutz und Datennutzungsverpflichtung entsteht. Denn während der Data Act 2025 die Datenweitergabe fordert, beschränkt die DSGVO diese, wenn es um personenbezogene Daten geht.

Eine nähere Betrachtung zeigt: Besonders bei IoT- oder Fahrzeugdaten ist es oft schwierig zu unterscheiden, ob Daten personenbezogen sind oder nicht. Unternehmen befinden sich dann in einem Dilemma zwischen Data-Act-Pflichten und Datenschutzverstößen. Eine Lösung bieten Anonymisierung, technische Filtermechanismen oder datenvertragliche Vereinbarungen, bei denen Verantwortlichkeiten eindeutig geregelt sind.

Übergangsregelungen für KMU

Um kleine und mittlere Unternehmen (KMU) nicht übermäßig zu belasten, sieht der Data Act 2025 gezielte Ausnahmen vor:

• Kleinst- und Kleinunternehmen (bis 50 Mitarbeiter und 10 Mio. € Umsatz), die unabhängig agieren, sind von der Datenweitergabepflicht ausgenommen.
• Mittlere Unternehmen erhalten einen einjährigen Übergangszeitraum – und zwar ab dem Zeitpunkt, zu dem sie entweder den KMU-Status verlieren oder ein neues Produkt auf den Markt bringen. Dieser doppelte Schutz erleichtert den Markteintritt und die Entwicklung neuer Angebote.

Dennoch sollten auch kleinere Betriebe sich rechtzeitig auf die vollständige Anwendung der Data Act Pflichten vorbereiten.

Pflichten beim Anbieterwechsel und Interoperabilität

Ein wichtiger Bestandteil des EU Data Act 2025 ist die Bekämpfung sogenannter Vendor Lock-ins. Anbieter von Cloud-Diensten oder Datenverarbeitungsplattformen müssen Kunden einen reibungslosen Wechsel zu anderen Anbietern ermöglichen. Zu den konkreten Pflichten gehören:

• Maximale Kündigungsfrist: 2 Monate
• Offenlegung technischer Formate (z. B. JSON, XML)
• Unterstützung bei Datenübertragung
• Transparente Hinweise zu Wechselhürden auf der Website

Diese Vorschriften gelten nicht nur für klassische Anbieter, sondern auch für neue Formen wie Smart Contracts, die automatisierte Datenfreigaben steuern. Auch sie unterliegen klaren Vorgaben hinsichtlich Protokollierung, Rücksetzbarkeit und Zugriffskontrollen.

Sanktionen bei Verstößen des Data Acts 2025 – hohe Strafen möglich

Verstöße gegen den EU Data Act 2025 können teuer werden. Die Verordnung sieht vor, dass die einzelnen EU-Mitgliedstaaten nationale Sanktionen definieren – jedoch müssen diese wirksam und abschreckend sein.

In Deutschland gelten voraussichtlich folgende Richtwerte:

• bis 50.000 € bei geringfügigen Verstößen
• bis 100.000 € bei mittleren Verstößen
• bis 500.000 € bei schweren Pflichtverletzungen
• bis zu 4 % des EU-Umsatzes bei Gatekeepern (z. B. Amazon, Meta)

Unternehmen sollten diese Sanktionen zum Data Act 2025 ernst nehmen – insbesondere, da parallel auch Verstöße gegen die DSGVO drohen können.

Mustervertragsklauseln & Compliance-Vorbereitung

Zur Unterstützung der praktischen Umsetzung erarbeitet die EU-Kommission bis September 2025 Mustervertragsklauseln. Diese sollen helfen, die häufigsten Vertragssituationen rechtssicher zu gestalten – etwa zwischen Nutzer und Dateninhaber oder zwischen Plattform und Cloud-Kunde.

Unternehmen sollten sich nicht auf die Muster allein verlassen, sondern eigene Data-Governance-Strukturen etablieren. Dazu zählen:

• Klare Zuständigkeiten für Datenweitergabe
• Dokumentierte Verfahren für Rechteprüfung und Datenklassifikation
• Regelmäßige Updates technischer Schnittstellen und APIs
• Vertragsanhänge zur DSGVO-Konformität

Fazit: Jetzt handeln – nicht abwarten

Der EU Data Act 2025 bringt tiefgreifende Verpflichtungen, aber auch große Chancen.
Wer Datenflüsse frühzeitig analysiert, Verträge anpasst und technische Schnittstellen modernisiert, kann regulatorische Risiken minimieren und Innovation gezielt fördern. Unternehmen sollten sich spätestens jetzt mit der Pflichten des EU Data Acts 2025 auseinandersetzen – denn die Übergangszeit endet bald, und hohe Sanktionen drohen bei Untätigkeit.

Unsere spezialisierten Rechtsanwälte für IT- und Datenschutzrecht helfen Ihnen, den Data Act 2025 rechtskonform in Ihrem Unternehmen umzusetzen. Jetzt Beratung im IT- und Datenschutzrecht anfordern