Der Data Act und seine Auswirkungen

Ein Smartphone zeigt eine EU-Flagge mit einem Schloss.

Der Data Act, der in Deutschland auch als Datengesetz bezeichnet wird, wird am 12. September 2025 seine Gültigkeit erlangen und das Recht auf den Zugang zu Daten vernetzter Geräte grundlegend ändern. Er räumt sowohl Nutzerinnen und Nutzern dieser Geräte als auch Drittunternehmen weitreichende Zugangsrechte ein, um die Rechte der Nutzer*innen zu stärken und Datenmonopole aufzubrechen. Es werden sowohl herstellende Unternehmen als auch Händler*innen in die Pflicht genommen.

In diesem Rechtstipp der Woche möchten wir dir erklären, welche Neuerungen der Data Act mit sich bringt und an welchen Stellen im Betrieb von Online-Shops Handlungsbedarf besteht.

Für welche Art von Geräten und Diensten gilt der Data Act?

Der Data Act gilt für alle vernetzten Geräte, die Daten über ihre Nutzung oder ihre Umgebung verarbeiten und diese in elektronischer Form übermitteln können. Vernetzte Geräte sind allgegenwärtig und werden von vielen Menschen genutzt. Moderne Autos sammeln etwa laufend Daten, u. a. über die Verwendung des Autos und den Zustand einzelner Teile.

Betroffen sind auch sogenannte Smart Devices wie Fitness-Tracker, Smart-Watches, Smart-Home-Geräte wie intelligente Beleuchtungssysteme oder Sprachassistenten wie Alexa. Auch Geräte, bei denen man es zunächst nicht erwartet, sind heute oft digital vernetzt – etwa smarte Rasenmäher, intelligente Kühlschränke oder Waschmaschinen.

Außerdem werden sogenannte verbundene Dienste vom Data Act umfasst. Das sind digitale Dienste, ohne die ein vernetztes Gerät nicht funktionieren würde. Beispiele hierfür sind die Software eines Fitness-Trackers oder einer Smart-Watch, ohne die diese Geräte ihre Dienste nicht ausführen können. Es spielt keine Rolle, ob hiermit Daten von Nutzer*innen absichtlich aufgezeichnet werden oder als (unbeabsichtigtes) Nebenprodukt anfallen. Kommunikationsdienste fallen nicht in den Anwendungsbereich des Data Acts.

Welche Zugangsrechte gewährt der Data Act Drittunternehmen?

Drittunternehmen können einen Zugang zu den Daten der vernetzten Geräte verlangen. Dieses Zugangsrecht besteht, solange im Fall von personenbezogenen Daten das Datenschutzrecht dem nicht entgegensteht. Da das Datenschutzrecht dem jedoch in der Praxis in vielen Fällen entgegenstehen wird, beschränkt sich das Zugangsrecht faktisch auf Daten, die keinen Personenbezug aufweisen.

Soweit es „relevant und technisch durchführbar“ ist, muss der Zugang direkt über eine Schnittstelle oder ein technisches Portal ermöglicht werden, auf die jedermann zugreifen kann. Sollte dies nicht möglich sein, können interessierte Drittunternehmen einen Zugangsantrag stellen. Entsprechende Anträge dürfen nur bei personenbezogenen Daten und im Falle von Geschäftsgeheimnissen abgelehnt werden. Werden Daten geteilt, sind die Details in einem Vertrag festzuhalten.

Welche Informationspflichten führt der Data Act ein?

Der Data Act bestimmt, dass vor dem Kauf Informationen über das vernetzte Produkt oder den verbundenen Dienst und die Daten, die damit generiert werden, zur Verfügung gestellt werden müssen. Die Informationen müssen „einfach, sicher, unentgeltlich in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format und, soweit relevant und technisch durchführbar, direkt zugänglich“ sein.

Zusätzlich ist darauf zu achten, dass sie klar und deutlich formuliert sind. Auch wenn diese Hinweise vom herstellenden Unternehmen kommen sollten, ist der Online-Handel in der Pflicht, diese auf der Produktseite des jeweiligen vernetzten Produktes leicht auffindbar zur Verfügung zu stellen. Hierbei dürfte es ausreichend sein, einen Link zu den Informationen einzubinden.

💡 Es empfiehlt sich, in die Lieferverträge bzw. AGBs für den Einkauf aufzunehmen, dass das herstellende Unternehmen verpflichtet ist, die Hinweise nach dem Data Act zur Verfügung zu stellen. Dies sollte auch eine Freistellungsvereinbarung und Regressansprüche umfassen, die im Falle fehlerhafter oder unvollständiger Informationen seitens des herstellenden Unternehmens greifen.

Welche Rechte haben Nutzerinnen und Nutzer?

Nutzerinnen und Nutzer können vom Dateninhaber, d. h. von dem Unternehmen, das die Kontrolle über die Daten hat, verlangen, dass ihnen Zugang zu den Daten gewährt wird. Bei vielen vernetzten Produkten und verbundenen Diensten dürfte dies direkt über das Produkt an sich erfolgen. Falls das nicht möglich ist, hat der Dateninhaber diese Daten kostenfrei, unverzüglich und in einem gängigen Dateiformat zur Verfügung zu stellen. Der Dateninhaber darf die Daten von Nutzer*innen nur dann für seine eigenen Zwecke verarbeiten oder an Dritte weitergeben, wenn er mit den jeweiligen Nutzer*innen einen entsprechenden Vertrag abgeschlossen hat.

Nutzerinnen und Nutzer können verlangen, dass der Dateninhaber ihre Daten an ein drittes Unternehmen weiterleitet. Diese Weitergabe ist für Nutzer*innen kostenlos und muss unverzüglich und in einem gängigen Dateiformat erfolgen. Dies soll Datenmonopole aufbrechen und es Verbraucher*innen erleichtern, den Anbieter zu wechseln. So könnte beispielsweise ein Nutzer verlangen, dass der Dateninhaber seines Fitness-Trackers, die damit gesammelten Daten an einen anderen Anbieter von Fitness-Trackern übermittelt.

💡 Es könnte passieren, dass sich Kund*innen mit entsprechenden Anfragen an den/die Online-Händler*in wenden, wo sie das Produkt gekauft haben. Verantwortlich ist hier jedoch ausschließlich der Dateninhaber, was in der Regel das herstellende Unternehmen des Produktes oder der Anbieter des verbundenen Dienstes ist. Es empfiehlt sich daher eine Klausel in die Lieferverträge bzw. AGBs für den Einkauf aufzunehmen, dass Online-Händler*innen solche Anfragen lediglich weiterleiten und der Dateninhaber allein für die Beantwortung verantwortlich ist.

Was unterscheidet den Data Act von der DSGVO?

Die DSGVO regelt die Verarbeitung personenbezogener Daten, also von Daten, die sich auf einen identifizierten oder identifizierbaren Menschen beziehen. Das Ziel der DSGVO ist der Schutz der Personen, deren Daten verarbeitet werden. Vollständig anonyme Daten und Daten, die sich auf juristische Personen wie Unternehmen, beziehen, sind nicht vom Geltungsbereich der DSGVO umfasst.

Der Data Act umfasst dagegen alle Arten von Daten, die bei der Nutzung vernetzter Produkte und verbundener Dienste anfallen. Er soll Transparenz für Nutzerinnen und Nutzer schaffen und Datenmonopole aufbrechen, indem er auch Drittunternehmen Zugangsrechte zu Daten einräumt.

Der Data Act hebelt die DSGVO nicht aus. Er stößt dort an seine Grenzen, wo gegen die Vorschriften der DSGVO verstoßen werden würde. Beispielsweise können Drittunternehmen keinen Zugang zu personenbezogenen Daten verlangen, wenn die Person, um deren Daten es geht, dem nicht explizit zugestimmt hat. Auch die Grundsätze der DSGVO, wie z. B. dass personenbezogene Daten, die nicht mehr zwingend benötigt werden, gelöscht werden müssen („Speicherbegrenzung“) und dass nur so wenige Daten wie möglich erhoben werden dürfen („Datenminimierung“), gelten weiterhin.

Unser Tipp

Online-Händler*innen sollten ihre angebotenen Produkte und Dienstleistungen durchgehen und prüfen, welche vom Data Act betroffen sind. Von den herstellenden Unternehmen betroffener Produkte und Dienstleistungen sollten die nach dem Data Act bereitzustellenden Informationen angefordert werden.

Außerdem sollten die Lieferantenverträge bzw. die AGBs für den Einkauf um Klauseln erweitert werden, die die herstellenden Unternehmen verpflichten, entsprechende Hinweise zu liefern und die Haftung für ihre Richtigkeit und Vollständigkeit zu übernehmen.

Zudem sollte geregelt werden, dass nur die herstellenden Unternehmen für die Zugangsgewährung sowie für die Weitergabe der Daten vernetzter Geräte verantwortlich sind und Online-Händler*innen, die solche Anfragen erhalten, diese lediglich weiterleiten müssen.

Zuletzt sollten die Informationspflichten im Online-Shop bei den jeweiligen Produkten/Dienstleistungen umgesetzt werden.

🤓 Wir unterstützen unsere Kundinnen und Kunden mit den Legal Paketen bei der Umsetzung des Data Acts und beraten dich auf Wunsch gerne persönlich, wie du individuelle Vertrags- und AGB-Klauseln entwirfst.

05.08.25
Mareike Michel

Mareike Michel

Mareike Michel, LL.M., ist als Legal Consultant bei Trusted Shops tätig und berät Kundinnen und Kunden zu allen Fragen rund um Datenschutz.

Weitere relevante Artikel

Symbolbild: Ein Würfel mit einem Schloss vor einem Smartphone.

WhatsApp & Datenschutz: Was ist im Unternehmen erlaubt?

 Ein Laptop zeigt eine Übersicht über ein Rollenkonzept.

Rollen- & Rechtekonzepte: Wer darf auf Daten zugreifen?

 Smartphone-Nutzer erhält einen Newsletter.

E-Mail-Marketing in Zeiten der DSGVO

Weitere interessante Blog-Artikel

Datenschutz in Legal

Der Data Act und seine Auswirkungen

Der Data Act (auf Deutsch „Datengesetz") wird am 12. September 2025 seine Gültigkeit erlangen. Wir erklären dir, was das für deinen Online-Shop bedeutet.

Jetzt lesen
4min. Lesezeit  |  05.08.25
Rechtssicher Werben in Legal

Richtig werben mit Testergebnissen

Die werbliche Herausstellung von Testergebnissen ist eine beliebte Marketingmaßnahme im E-Commerce. Doch Vorsicht: Stolpere nicht über diese Fallstricke.

Jetzt lesen
5min. Lesezeit  |  29.07.25
Datenschutz , Rechtssicher Werben in Legal

WhatsApp & Datenschutz: Was ist im Unternehmen erlaubt?

In diesem Tipp der Woche möchten wir dich darüber aufklären, ob und vor allem wie WhatsApp in deinem Unternehmen datenschutzkonform eingesetzt werden kann.

Jetzt lesen
4min. Lesezeit  |  24.07.25
Land auswählen:
DE
BE CZ ES FR IT NL AT PL CH PT RO UK COM

© 2025 Trusted Shops SE Impressum Datenschutz Cookies