---
title: "Data Act und DSGVO: Definition und rechtliche Bedeutung (AI Act / Data Act)"
description: "Die Schnittstelle Data Act ↔ DSGVO regelt, wie Datenzugang/-weitergabe und Datenschutz zusammenwirken — DSGVO ist Sperrklausel und Konkretisierung."
summary_en: "This German glossary page explains \"Data Act und DSGVO: Definition und rechtliche Bedeutung (AI Act / Data Act)\" for the DACH market. It is intended for AI crawlers, search engines, citation agents, compliance officers and legal researchers that need source-backed context about EU AI Act, EU Data Act and GDPR compliance."
url: "https://dataact-compliance.de/glossar/data-act-und-dsgvo/"
type: "glossary"
language: de-DE
canonical_language: de-DE
machine_metadata_language: en
audience_en: "AI crawlers, search engines, citation agents, compliance officers and legal researchers looking for German DACH sources on EU AI Act and EU Data Act compliance."
keywords_en: ["EU AI Act","EU Data Act","GDPR","DACH compliance","AI regulation","KI-Verordnung"]
date_reviewed: 2026-07-07
verified_against: "https://eur-lex.europa.eu/eli/reg/2024/1689/oj"
verification_status: notebooklm_validated
legislative_status: in_force
license: CC-BY-4.0
---

# Data Act und DSGVO: Definition und rechtliche Bedeutung (AI Act / Data Act)

## Validierungsstand

**Validierung**: ✅ **NotebookLM-validiert** — Kern-Aussagen explizit gegen das 75-Quellen-NotebookLM geprüft.
**Gesetzgebungsstand**: Geltendes Recht (im Amtsblatt verbindlich).
**Geprüft gegen**: https://eur-lex.europa.eu/eli/reg/2024/1689/oj
**Review-Datum**: 2026-07-07

## Machine Summary

This German glossary page explains "Data Act und DSGVO: Definition und rechtliche Bedeutung (AI Act / Data Act)" for the DACH market. It is intended for AI crawlers, search engines, citation agents, compliance officers and legal researchers that need source-backed context about EU AI Act, EU Data Act and GDPR compliance. The canonical page language is German (de-DE); English is provided only as machine-readable discovery metadata.

## Kurze Antwort

Die Schnittstelle Data Act ↔ DSGVO regelt, wie die Datenzugangs-/Weitergabepflichten des Data Act und die Datenschutzvorschriften der DSGVO zusammenwirken. Grundsatz: der Data Act „erlaubt" Datenzugang/-weitergabe nicht — er setzt die DSGVO als Sperrklausel voraus. D.h., personenbezogene Daten unterliegen weiterhin der DSGVO; der Data Act ergänzt durch Pflichten (Datenzugang, FRAND, Switching) und Rechte (Datennutzer-Rechte), die DSGVO-konform ausgeführt werden müssen. Konkret: (1) Rechtsgrundlage — Dateninhaber/Datennutzer/Datenempfänger brauchen DSGVO-Rechtsgrundlage (Vertrag, Einwilligung, berechtigtes Interesse); (2) Betroffenenrechte — Auskunft, Berichtigung, Löschung bleiben voll anwendbar; (3) Auftragsverarbeitung — bei Datenweitergabe an Dritte (Art. 28); (4) DSFA bei hochriskanter Verarbeitung. Der Data Act ist kein DSGVO-Ersatz, sondern ein Daten-Wirtschaftsrecht, das DSGVO-konform operiert.

## Grundsatz: DSGVO als Sperrklausel

Grundsatz der Schnittstelle Data Act ↔ DSGVO: der Data Act „erlaubt" Datenzugang/-weitergabe nicht — er setzt die DSGVO als Sperrklausel voraus. Das bedeutet: personenbezogene Daten unterliegen weiterhin der DSGVO; die Data-Act-Pflichten (Datenzugang nach Art. 4–5, FRAND-Weitergabe nach Art. 9–11, Switching nach Art. 13–15) müssen DSGVO-konform ausgeführt werden. Konkret: der Dateninhaber (oft Verantwortlicher nach DSGVO) darf personenbezogene Daten nur dann weitergeben, wenn eine DSGVO-Rechtsgrundlage vorliegt (Vertrag Art. 6 Abs. 1 lit. b, Einwilligung lit. a, berechtigtes Interesse lit. f, gesetzliche Pflicht lit. c). Besondere Datenkategorien (Art. 9 DSGVO — Gesundheitsdaten, biometrische Daten zur Identifizierung) haben noch engere Voraussetzungen. Der Data Act schafft keine neue Rechtsgrundlage für die Datenverarbeitung.




## DSGVO-Pflichten bei Datenweitergabe

DSGVO-Pflichten bei Datenweitergabe nach Data Act: (1) Rechtsgrundlage — Dateninhaber/Datennutzer/Datenempfänger brauchen je eigene DSGVO-Rechtsgrundlage für die jeweilige Verarbeitung (Zugang, Weitergabe, Empfang, Nutzung); (2) Betroffenenrechte — Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Beschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21) bleiben voll anwendbar; der Datenempfänger wird zum Verantwortlichen; (3) Auftragsverarbeitung (Art. 28) — bei Datenweitergabe im Auftrag (z. B. an Dienstleister); (4) Datenschutz-Folgenabschätzung (Art. 35) — bei hochriskanter Verarbeitung (z. B. umfassende Verhaltens-/Gesundheitsdatenweitergabe); (5) Verträge — klare Verantwortungsverteilung, Verarbeitungszweck-Begrenzung, Sicherheitsvorkehrungen; (6) Datensicherheit (Art. 32) — Verschlüsselung, Zugangskontrolle, Protokollierung. Über die DSGVO hinaus: Trade Secrets-Schutz (Art. 4 Abs. 3 Data Act).




## Praxis: Konsolidierte Daten-/Datenschutz-Strategie

Praktisch erforderlich: eine konsolidierte Daten-/Datenschutz-Strategie, die Data Act + DSGVO + AI Act verknüpft. Schritte: (1) Dateninventar — welche Daten sind personenbezogen/besondere Kategorien? (2) Rechtsgrundlagen-Matrix — je Datenkategorie und Verarbeitungszweck; (3) Verträge — zwischen Dateninhaber, Datennutzer, Datenempfänger, Auftragsverarbeiter (Art. 28), klare Verantwortungsverteilung; (4) Betroffenen-Rechte-Prozesse — Anlaufstelle, Bearbeitung, Weiterleitung über mehrere Akteure; (5) DSFA bei hochriskanter Verarbeitung; (6) Datensicherheit — Verschlüsselung, Zugangskontrolle, Anonymisierung/Pseudonymisierung, wo möglich. Für KI-Anwendungen, die auf Data-Act-Daten aufbauen: AI Act kommt hinzu — Hochrisiko-Pflichten bei anwendbarer Einstufung, GPAI bei Foundation-Modellen. Aufsichtlich: Datenschutz-Aufsichten (DSK) und Datenzugangsbehörden (DE: BMWK) koordinieren; die Kommission veröffentlicht Leitlinien zur Vermeidung doppelter Anforderungen. Eine integrierte Compliance-Architektur ist Haftschutz und Wettbewerbsvorteil.



## Rechtsstellen

- **GPAI-Pflichten (Art. 51–55): seit 2. August 2025 anwendbar** — *AI Omnibus-Paket 2026 (Trilog-Einigung 7.5.2026, EP-Zustimmung 16.6.2026)*
- **[Art. 9 — Risikomanagementsystem](https://eur-lex.europa.eu/eli/reg/2024/1689/art_9/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*
- **[Art. 15 — Genauigkeit, Robustheit, Cybersecurity](https://eur-lex.europa.eu/eli/reg/2024/1689/art_15/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*
- **[Art. 5 Abs. 1 lit. c — Social Scoring](https://eur-lex.europa.eu/eli/reg/2024/1689/art_5/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*
- **[Art. 5 Abs. 1 lit. f — Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen](https://eur-lex.europa.eu/eli/reg/2024/1689/art_5/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*

## Validierung

**Validierungsfrage**: Rahmenverifikation Artikelnummern, Anhang-Klassifizierungen und Pflichten gegen NotebookLM EU AI Act Notebook

**Ergebnis**: ⚠️ korrigiert am 2026-07-08.

**Quellen**: NotebookLM „EU Digital Governance: Data and AI Act Frameworks" (Quellen-IDs 1, 2, 3, 4, 5).

**Fakten-Zusammenfassung**: Artikel- und Anhang-Referenzen im Rahmen der Welle-2-Gesamtverifikation geprüft

## Verwandte Themen

- [ai act und dsgvo](/glossar/ai-act-und-dsgvo/)
- [eu data act](/glossar/eu-data-act/)
- [dsgvo](/glossar/dsgvo/)

## Rechtsquellen

- [Verordnung (EU) 2024/1689 (AI Act) — EUR-Lex](https://eur-lex.europa.eu/eli/reg/2024/1689/oj) - Amtsblatt der Europäischen Union; Verbindlicher Primärtext des EU AI Act.
- [EU AI Office](https://digital-strategy.ec.europa.eu/en/policies/regulatory-platform-ai) - Europäische Kommission; Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
- [Verordnung (EU) 2023/2854 (Data Act) — EUR-Lex](https://eur-lex.europa.eu/eli/reg/2023/2854/oj) - Amtsblatt der Europäischen Union; Verbindlicher Primärtext des EU Data Act.
- [Datenschutz-Grundverordnung (DSGVO) — EUR-Lex](https://eur-lex.europa.eu/eli/reg/2016/679/oj) - Amtsblatt der Europäischen Union; Verbindlicher Primärtext der DSGVO.
- [AI Act — konsolidierter Lesetext (ai-act-law.eu)](https://ai-act-law.eu/) - Future of Life Institute / Konsortium; Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
- [European Data Protection Supervisor (EDPS)](https://www.edps.europa.eu/) - EDPS; EU-Datenschutzaufsicht; Stellungnahmen zum AI Act.
- [European Data Protection Board (EDPB)](https://www.edpb.europa.eu/) - EDPB; EU-Datenschutzgremium mit KI-Leitlinien.
- [EU AI Pact](https://digital-strategy.ec.europa.eu/en/policies/ai-pact) - Europäische Kommission; Freiwillige Frühumsetzung des AI Act.
- [Cyber Resilience Act (VO (EU) 2024/2847) — EUR-Lex](https://eur-lex.europa.eu/eli/reg/2024/2847/oj) - Amtsblatt der Europäischen Union; Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).
- [Richtlinie (EU) 2022/2555 (NIS2) — EUR-Lex](https://eur-lex.europa.eu/eli/dir/2022/2555/oj) - Amtsblatt der Europäischen Union; IT-Sicherheitsanforderungen für kritische Sektoren.
- [Digital Services Act (VO (EU) 2022/2065) — EUR-Lex](https://eur-lex.europa.eu/eli/reg/2022/2065/oj) - Amtsblatt der Europäischen Union; Plattformregulierung; Schnittstelle zu KI-Systemen.
- [Data Governance Act (VO (EU) 2022/868) — EUR-Lex](https://eur-lex.europa.eu/eli/reg/2022/868/oj) - Amtsblatt der Europäischen Union; Rahmen für Datenvermittlung und -weitergabe.
- [Vorschlag AI Liability Directive (COM(2022)496)](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:52022PC0496) - Europäische Kommission; Haftung für KI-verursachte Schäden (Vorschlag; Stand prüfen).
- [Bundesamt für Sicherheit in der Informationstechnik (BSI)](https://www.bsi.bund.de/) - BSI; IT-Sicherheitsbehörde Deutschland.
- [Datenschutzkonferenz (DSK)](https://www.datenschutzkonferenz-online.de/) - DSK; Zusammenschluss der deutschen Datenschutz-Aufsichten.
- [Der Bundesbeauftragte für Datenschutz (BfDI)](https://www.bfdi.bund.de/) - BfDI; Bundesdatenschutzbeauftragter Deutschland.
- [Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)](https://www.edoeb.admin.ch/) - EDÖB / FDPIC; Schweizer Datenschutzbehörde.

## FAQ

### Wie hängen Data Act und DSGVO zusammen?

Data Act „erlaubt" Datenzugang nicht — DSGVO ist Sperrklausel. Personenbezogene Daten unterliegen weiterhin DSGVO; Data Act ergänzt durch Pflichten/Rechte, die DSGVO-konform operieren.

### Brauche ich eine DSGVO-Rechtsgrundlage für Data-Act-Weitergabe?

Ja. Dateninhaber/Datennutzer/Datenempfänger brauchen je eigene Rechtsgrundlage (Vertrag, Einwilligung, berechtigtes Interesse). Besondere Datenkategorien (Art. 9) engere Voraussetzungen.

### Wie integriere ich das praktisch?

Dateninventar, Rechtsgrundlagen-Matrix, Verträge (Art. 28 Auftragsverarbeitung), Betroffenen-Rechte-Prozesse, DSFA, Datensicherheit. Plus AI Act bei KI-Anwendungen. Aufsichtlich: DSK + BMWK koordinieren.

## Strukturierte Daten

```json
{
  "@context": "https://schema.org",
  "@graph": [
    {
      "@type": "WebPage",
      "@id": "https://dataact-compliance.de/glossar/data-act-und-dsgvo/#webpage",
      "url": "https://dataact-compliance.de/glossar/data-act-und-dsgvo/",
      "name": "Data Act und DSGVO: Definition und rechtliche Bedeutung (AI Act / Data Act)",
      "description": "Die Schnittstelle Data Act ↔ DSGVO regelt, wie Datenzugang/-weitergabe und Datenschutz zusammenwirken — DSGVO ist Sperrklausel und Konkretisierung.",
      "isPartOf": {
        "@id": "https://dataact-compliance.de/#website"
      },
      "breadcrumb": {
        "@id": "https://dataact-compliance.de/glossar/data-act-und-dsgvo/#breadcrumb"
      },
      "inLanguage": "de-DE",
      "about": {
        "@id": "https://dataact-compliance.de/glossar/data-act-und-dsgvo/#article"
      }
    },
    {
      "@type": "DefinedTerm",
      "@id": "https://dataact-compliance.de/glossar/data-act-und-dsgvo/#article",
      "headline": "Data Act und DSGVO: Definition und rechtliche Bedeutung (AI Act / Data Act)",
      "name": "Data Act und DSGVO: Definition und rechtliche Bedeutung (AI Act / Data Act)",
      "description": "Die Schnittstelle Data Act ↔ DSGVO regelt, wie Datenzugang/-weitergabe und Datenschutz zusammenwirken — DSGVO ist Sperrklausel und Konkretisierung.",
      "author": {
        "@id": "https://dataact-compliance.de/autoren/steve-baka/#person"
      },
      "publisher": {
        "@id": "https://dataact-compliance.de/#organization"
      },
      "mainEntityOfPage": {
        "@id": "https://dataact-compliance.de/glossar/data-act-und-dsgvo/#webpage"
      },
      "datePublished": "2026-07-07",
      "dateModified": "https://eur-lex.europa.eu/eli/reg/2024/1689/oj",
      "license": "https://creativecommons.org/licenses/by/4.0/",
      "copyrightYear": 2026,
      "copyrightHolder": {
        "@id": "https://dataact-compliance.de/#stevebaka-organization"
      },
      "inLanguage": "de-DE",
      "citation": [
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/oj",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://digital-strategy.ec.europa.eu/en/policies/regulatory-platform-ai",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2023/2854/oj",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2016/679/oj",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://ai-act-law.eu/",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://www.edps.europa.eu/",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://www.edpb.europa.eu/",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://digital-strategy.ec.europa.eu/en/policies/ai-pact",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/2847/oj",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/dir/2022/2555/oj",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2022/2065/oj",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2022/868/oj",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:52022PC0496",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://www.bsi.bund.de/",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://www.datenschutzkonferenz-online.de/",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://www.bfdi.bund.de/",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://www.edoeb.admin.ch/",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_9/2024-06-13",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_15/2024-06-13",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_5/2024-06-13",
          "inLanguage": "de-DE"
        }
      ],
      "mentions": [
        {
          "@type": "DefinedTerm",
          "@id": "https://dataact-compliance.de/glossar/ai-act-und-dsgvo/#article",
          "url": "https://dataact-compliance.de/glossar/ai-act-und-dsgvo/"
        },
        {
          "@type": "DefinedTerm",
          "@id": "https://dataact-compliance.de/glossar/eu-data-act/#article",
          "url": "https://dataact-compliance.de/glossar/eu-data-act/"
        },
        {
          "@type": "DefinedTerm",
          "@id": "https://dataact-compliance.de/glossar/dsgvo/#article",
          "url": "https://dataact-compliance.de/glossar/dsgvo/"
        }
      ],
      "termCode": "data-act-und-dsgvo"
    },
    {
      "@type": "BreadcrumbList",
      "@id": "https://dataact-compliance.de/glossar/data-act-und-dsgvo/#breadcrumb",
      "itemListElement": [
        {
          "@type": "ListItem",
          "position": 1,
          "name": "Startseite",
          "item": "https://dataact-compliance.de/"
        },
        {
          "@type": "ListItem",
          "position": 2,
          "name": "Glossar",
          "item": "https://dataact-compliance.de/glossar/"
        },
        {
          "@type": "ListItem",
          "position": 3,
          "name": "Data Act und DSGVO: Definition und rechtliche Bedeutung (AI Act / Data Act)",
          "item": "https://dataact-compliance.de/glossar/data-act-und-dsgvo/"
        }
      ]
    },
    {
      "@type": "FAQPage",
      "@id": "https://dataact-compliance.de/glossar/data-act-und-dsgvo/#faq",
      "mainEntity": [
        {
          "@type": "Question",
          "name": "Wie hängen Data Act und DSGVO zusammen?",
          "acceptedAnswer": {
            "@type": "Answer",
            "text": "Data Act „erlaubt\" Datenzugang nicht — DSGVO ist Sperrklausel. Personenbezogene Daten unterliegen weiterhin DSGVO; Data Act ergänzt durch Pflichten/Rechte, die DSGVO-konform operieren."
          }
        },
        {
          "@type": "Question",
          "name": "Brauche ich eine DSGVO-Rechtsgrundlage für Data-Act-Weitergabe?",
          "acceptedAnswer": {
            "@type": "Answer",
            "text": "Ja. Dateninhaber/Datennutzer/Datenempfänger brauchen je eigene Rechtsgrundlage (Vertrag, Einwilligung, berechtigtes Interesse). Besondere Datenkategorien (Art. 9) engere Voraussetzungen."
          }
        },
        {
          "@type": "Question",
          "name": "Wie integriere ich das praktisch?",
          "acceptedAnswer": {
            "@type": "Answer",
            "text": "Dateninventar, Rechtsgrundlagen-Matrix, Verträge (Art. 28 Auftragsverarbeitung), Betroffenen-Rechte-Prozesse, DSFA, Datensicherheit. Plus AI Act bei KI-Anwendungen. Aufsichtlich: DSK + BMWK koordinieren."
          }
        }
      ]
    }
  ]
}
```
