EU Data Act: Definition und rechtliche Bedeutung (AI Act / Data Act)
Der EU Data Act (Verordnung (EU) 2023/2854) ist der zentrale unionsrechtliche Rahmen für die Datennutzung und -weitergabe. Er regelt: (1) den Zugang zu und die Nutzung von Daten, die von verbundenen Produkten und zugehörigen Diensten generiert werden (Kapitel II); (2) die Pflichten der Dateninhaber gegenüber Nutzern (B2C/B2B) und die Rechte der Nutzer auf Datenweitergabe an Dritte (Kapitel III); (3) die vertikale und horizontale Datenweitergabe (B2B); (4) die Pflichten für Datenhaltungs-Dienstleister (Cloud-Wechsel, Switching); (5) die internationale Datenübermittlung; (6) die offene algorithmischer Preisbildung für Dateninhaber mit erheblicher Marktmacht. Der Data Act ist seit dem 12. September 2025 anwendbar. Er ist datenbezogenes Gegenstück zum AI Act: der Data Act öffnet Datenquellen, der AI Act reguliert die KI, die diese Daten nutzt.
Steve Baka
Gegenstand und Anwendungsbereich
Der Data Act (VO (EU) 2023/2854) regelt die rechtlichen Pflichten beim Zugang zu und der Nutzung von Daten. Erster Schwerpunkt: Daten aus verbundenen Produkten und zugehörigen Diensten (IoT, Smart Home, Connected Vehicles, Industriemaschinen). Kapitel II definiert, wer Dateninhaber ist, welche Daten zugänglich zu machen sind, und wie der Nutzer (B2C/B2B) darauf zugreift. Zweiter Schwerpunkt: die Datenweitergabe an Dritte (Kapitel III) — Nutzer können Daten an kompetente Dritte weitergeben (z. B. einen unabhängigen Reparaturdienst). Dritter Schwerpunkt: B2B-Datenweitergabe und FRAND-Bedingungen; Cloud-/Switching-Pflichten; internationale Übermittlungen; öffentlicher Datenzugang (C2G) bei außergewöhnlichen Notlagen.
Die Hauptpflichten
Kernpflichten: (1) Dateninhaber müssen produktspezifische Daten ohne unverhältnismäßige Verzögerung, leicht zugänglich und — sofern technisch möglich — in Echtzeit bereitstellen. (2) Nutzer haben das Recht, Daten an Dritte weiterzugeben (Datenmitnahmerecht). (3) FRAND-Bedingungen (fair, reasonable, non-discriminatory) bei der B2B-Datenweitergabe. (4) Wechsel-/Switching-Pflichten für Cloud-/Edge-Anbieter, keine Lock-in-Effekte, funktionelle Interoperabilität. (5) Internationale Datenübermittlungen unter Schutzäquivalenz (ähnlich DSGVO). (6) Offene algorithmischer Preisbildung für Dateninhaber mit erheblicher Marktmacht. Bußgelder bis zu 1 % des Jahresumsatzes oder mindestens 5 Mio. EUR (national).
Verhältnis zum AI Act
Der Data Act und der AI Act sind komplementär, nicht konkurrierend. Der Data Act öffnet Datenquellen (IoT, verbundene Produkte, B2B), die der AI Act für das KI-Training und den Betrieb nutzen kann. Schnittstellen: (1) Data-Act-Daten können AI-Act-Trainingsdaten sein — die Daten-Governance (Art. 10 AI Act) profitiert vom transparenten Datenzugang. (2) Verbundene Produkte mit KI-Komponente (Sicherheitsfunktion) sind hochriskant nach Anhang I AI Act und zugleich Data-Act-Produkte. (3) Beide Regime habenTransparenz- und Switching-Pflichten. Praktisch: Ein IoT-Hersteller muss Data-Act-Zugang gewähren UND, falls KI eingebettet ist, AI-Act-Konformität nachweisen. Die Domäne dataact-compliance.de spiegelt diese Komplementarität wider.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act.
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act.
Cyber Resilience Act (VO (EU) 2024/2847) — EUR-LexAmtsblatt der Europäischen Union. Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).
Richtlinie (EU) 2022/2555 (NIS2) — EUR-LexAmtsblatt der Europäischen Union. IT-Sicherheitsanforderungen für kritische Sektoren.
Digital Services Act (VO (EU) 2022/2065) — EUR-LexAmtsblatt der Europäischen Union. Plattformregulierung; Schnittstelle zu KI-Systemen.
Data Governance Act (VO (EU) 2022/868) — EUR-LexAmtsblatt der Europäischen Union. Rahmen für Datenvermittlung und -weitergabe.
Vorschlag AI Liability Directive (COM(2022)496)Europäische Kommission. Haftung für KI-verursachte Schäden (Vorschlag; Stand prüfen).
Bundesamt für Sicherheit in der Informationstechnik (BSI)BSI. IT-Sicherheitsbehörde Deutschland.
Häufige Fragen
Wann gilt der Data Act?
Seit dem 12. September 2025 anwendbar (VO (EU) 2023/2854). Er erfasst verbundene Produkte/IoT, B2B/B2C/C2G-Datenweitergabe, Cloud-Wechsel und Dateninhaber-Pflichten.
Was sind die Hauptpflichten?
Datenzugang für Nutzer (B2C/B2B), Datenmitnahmerecht an Dritte, FRAND bei B2B, Cloud-Switching ohne Lock-in, internationale Übermittlung mit Schutzäquivalenz.
Wie hängen Data Act und AI Act zusammen?
Komplementär: Der Data Act öffnet Datenquellen (IoT, B2B), die der AI Act für Training/Betrieb nutzt. Beide Regime haben Transparenz- und Switching-Pflichten.
Du willst EU AI Act und Data Act praktisch umsetzen?
Ich helfe dir, aus Konzepten, Pflichten, Use-Cases und Nachweisen ein Compliance-System zu bauen, das für Menschen verständlich und für Aufsichten nachvollziehbar ist.