Ab heute gilt der EU Data Act

Ab heute profitieren Bürgerinnen und Bürger in der EU von mehr Transparenz und Kontrolle über ihre Gerätedaten: Mit dem Inkrafttreten des EU-Datengesetzes (Data Act) erhalten Nutzer klar geregelte Rechte beim Zugriff auf Informationen aus vernetzten Geräten. Als Verordnung gilt das Gesetz unmittelbar in allen EU Staaten. Hersteller müssen jetzt offenlegen, welche Daten erhoben werden und wie diese zugänglich sind. So können Verbraucher ihre Gerätedaten künftig einfacher einsehen und gezielt weitergeben um beispielsweise Reparaturen zu erleichtern oder zusätzliche digitale Dienste zu nutzen.

Das Gesetz stärkt zugleich die Sicherheit, da es klare Schutzmechanismen gegen unrechtmäßige Datenübertragungen vorsieht. Damit wird der digitale Alltag nicht nur komfortabler, sondern auch sicherer.

Der Geltungsbereich des Data Act ist breit: Von Smartphones, Smartwatches und Haushaltsgeräten wie Kühlschränken oder Klimaanlagen über E-Bikes und Autos bis hin zu industriellen Anlagen und Flugzeugen, es fallen alle datengestützten Geräte fallen unter die neuen Regeln. Mit der Einigung von EU-Staaten und Europäischem Parlament bereits im Jahr 2023 wurde der Grundstein für mehr digitale Souveränität und Verbraucherfreundlichkeit gelegt.

Der Data Act ergänzt die Datenschutz-Grundverordnung (DSGVO). Wichtig zu wissen ist die Abgrenzung: Der Data Act regelt nur nicht personenbezogene Daten. Für personenbezogene Daten gilt weiterhin die DSGVO. Das bedeutet: Mit Gerätedaten darf künftig leichter gehandelt werden, aber für personenbezogene Daten bleibt eine rechtliche Grundlage nach Art. 6 DSGVO erforderlich.

Der Data Act gilt sowohl für Unternehmen als auch für Privatpersonen. Er betrifft sogenannte „In-scope-Daten“. Das sind technische Rohdaten und Metadaten, die bei der Nutzung von Geräten entstehen. Für diese Daten gelten ab sofort neue Regeln. Nicht erfasst sind „Out-of-scope-Daten“, also zum Beispiel ausgewertete Analysen oder durch Algorithmen erzeugte Ergebnisse.

In Österreich ist bislang keine konkrete nationale Behörde offiziell benannt, die ausschließlich für die Umsetzung des Data Act zuständig ist. Die Datenschutzbehörde dürfte jedoch in Zukunft eine wichtige Rolle spielen, besonders im Zusammenspiel mit der DSGVO.

Der Data Act bringt erheblichen Umsetzungs- und Compliance-Aufwand für die Wirtschaft mit sich. Große Konzerne beschäftigen sich bereits seit längerer Zeit damit. Mittelständische und kleine Unternehmen dürften mit den neuen Herausgabepflichten jedoch derzeit überfordert sein. Einige haben sich womöglich noch gar nicht damit auseinandergesetzt. Die gesetzlichen Fristen zum Data Act liefen ja auch weitgehend ohne öffentliche Aufmerksamkeit.

Dieser Status spiegelt sich auch in einer Umfrage des deutschen IT-Branchenverbands Bitkom wider (Frühjahr 2025, 605 Unternehmen mit mindestens 20 Beschäftigten):

• Nur 1 % der betroffenen Unternehmen hatten 100 Tage vor Inkrafttreten des Data Act alle Vorgaben vollständig umgesetzt,
• weitere 4 % teilweise,
• 10 % hatten gerade erst mit der Umsetzung begonnen,
• 30 % noch nicht.

In Österreich wird sich die Situation vermutlich ähnlich darstellen.