Abo
Über das Event Referenten Partner werden Organisation Blog Rückblick
Veröffentlicht am 06. Januar 2026
Artikel

Data Act und DSGVO

Herausforderungen im Spannungsfeld von Datenökonomie und Datenschutz

Gastbeitrag von Dr. Birte Mössner, Konzerndatenschutzbeauftragte, Leiterin Data Privacy & Data Compliance, Daimler Truck

Artikel aus dem Handelsblatt Journal „Cybersecurity & Datenschutz“

Seit dem 12. September 2025 haben Unternehmen in den EU-Mitgliedstaaten ein neues Datengesetz anzuwenden: den EU Data Act. Dieser trat bereits am 11. Januar 2024 in Kraft – nur knapp zwei Jahre nach Vorlage des ersten Entwurfs. Dies unterstreicht den hohen Stellenwert, den die EU-Kommission ihrer Datenstrategie beimisst, um die Datenwirtschaft und Innovation in der EU zu fördern. Der Data Act ist das Herzstück des neuen Datenwirtschaftsrechts. Ziel ist es, einen fairen Datenzugang zu ermöglichen und die Datennutzung generell zu fördern.

Der Data Act ist neu – die DSGVO bereits etabliert

Eine gänzlich andere Schutzrichtung hat die EU-Datenschutz- Grundverordnung (DSGVO). Sie ist bereits zum 24. Mai 2016 in Kraft getreten und war das erste Gesetz in diesem Themenbereich. Sie schützt personenbezogene Daten und die Privatsphäre und stellt die Grundsätze der Datenminimierung und Zweckbindung in den Vordergrund.

Das führt zu einem Spannungsfeld zwischen Datenökonomie und Datenschutz, durchaus auch zu einem Konkurrenzverhältnis. Eine klare Abgrenzung ergibt sich nämlich nicht daraus, dass der Data Act ausschließlich für nicht-personenbezogene Daten gilt und die DSGVO den Bereich der personenbezogenen Daten regelt. Auch wenn der Data Act auf IoT-Daten, also Maschinendaten abzielt, können darunter sowohl nichtpersonenbezogene als auch personenbezogene Daten fallen.

Im Data Act ist an mehreren Stellen klar geregelt, dass er unbeschadet des Datenschutzrechts gilt und dieses im Konfliktfall sogar Vorrang hat. Somit sind in Bezug auf personenbezogene Daten immer beide Verordnungen zu berücksichtigen. In der Unternehmenspraxis führt dieses unabgestimmte Nebeneinander der beiden Verordnungen zu komplexen Herausforderungen.

Kerninhalte des Data Acts

Der Data Act regelt vor allem den Zugang zu und die Nutzung von Daten, die von vernetzten Produkten oder verbundenen Diensten generiert werden. Unter die Definition der vernetzten Produkte fallen beispielsweise smarte Haushaltsgeräte, Fitness-Tracker oder industrielle Produktionsanlagen. Auch Fahrzeuge (egal ob Pkw oder Nutzfahrzeuge) sind vernetzte Produkte, die über Sensoren Daten erheben und übertragen können. Außerdem sind die Fahrzeuge auch in der Lage, untereinander zu kommunizieren.

Hersteller von vernetzten Produkten haben drei zentrale Pflichten aus dem Data Act:

  • Access by Design: Hersteller sollen ihre vernetzten Produkte so konzipieren, dass Produktdaten für den Nutzer einfach und wenn möglich direkt zugänglich sind, z. B. über digitale Schnittstellen.
  • Ausreichend ist allerdings auch, dass der Dateninhaber dem Nutzer des Produkts die ohne Weiteres verfügbaren Daten auf dessen Verlangen zur Verfügung stellt, und zwar unentgeltlich und falls möglich kontinuierlich und in Echtzeit.
  •  Nutzer dürfen außerdem verlangen, dass der Dateninhaber die Daten auch Dritten zur Verfügung stellt (z. B. Wartungsfirmen, Werkstätten, Versicherungen oder Flottenmanagement-Anbietern). Hierfür kann der Dateninhaber eine angemessene Gegenleistung verlangen.

Nutzerzentrierte Datenökonomie

Damit führt der Data Act zu einem Paradigmenwechsel: Es soll nicht mehr derjenige im Vorteil sein, der als Hersteller des Produkts den unmittelbaren Zugriff auf die Daten hat. Vielmehr erhält der Nutzer des Produkts, welches die Daten generiert, ein exklusives Nutzungsund Vermarktungsrecht.

Offene Fragen bei der Umsetzung

Bei der Umsetzung des Data Acts stellen sich zahlreiche praxisrelevante Fragen:

  • Was sind „ohne Weiteres verfügbaren Daten“, die auf Verlangen des Nutzers herauszugeben sind?
  • Wie müssen Verträge gestaltet werden, um die neuen Anforderungen vertraglich umzusetzen?
  • Wie können Unternehmen die Informationspflichten aus dem Data Act erfüllen, die zwar ähnlich, aber nicht identisch mit denen aus der DSGVO sind?
  • Wie lassen sich Geschäftsgeheimnisse schützen?
  • Wie kann der Dateninhaber die Daten weiterhin für eigene Zwecke nutzen?

Schnittstelle Data Act und DSGVO

Eine zentrale Frage tritt direkt an der Schnittstelle zwischen Data Act und DSGVO zu Tage. Der Data Act stellt eine besondere Anforderung auf, wenn es sich beim Nutzer des Produkts nicht zugleich um die betroffene Person handelt, deren Daten verlangt werden. In solchen Konstellationen darf der Dateninhaber personenbezogene Daten, die bei der Nutzung generiert werden, nur auf Basis einer gültigen DSGVO-Rechtsgrundlage bereitstellen. Spiegelbildlich benötigt auch der Nutzer in dieser Konstellation für den Zugang zu den Daten eine Rechtsgrundlage.

Dieses Zusammenspiel von Data Act und DSGVO ist beispielsweise im Nutzfahrzeuggeschäft von hoher praktischer Relevanz, weil üblicherweise ein Mehrpersonenverhältnis besteht. Der Nutzer ist häufig ein Flottenbetreiber (z. B. ein Spediteur oder Busunternehmer), von dem die Fahrzeugdaten nicht selbst generiert werden, sondern von dessen angestellten Fahrern.

An dieser Stelle kommt es auch entscheidend darauf an, wie personenbezogene Daten von nicht-personenbezogenen Daten abgegrenzt werden. Der Data Act sieht hierzu vor, dass gemischte Datensätze als personenbezogen zu behandeln sind. Die erforderliche Abgrenzung stellt Unternehmen vor große Herausforderung mit weitreichenden Konsequenzen. Eine falsche Kategorisierung der Daten würde eine erhebliche Bußgeldgefahr entweder nach Data Act oder nach DSGVO mit sich bringen. Die Anonymisierung der Daten kann hier ein Lösungsansatz sein, ist aber in der Praxis oft nur schwer realisierbar.

Welche Rechtsgrundlage ist denkbar?

Im Bereich der personenbezogenen Daten gestaltet sich die Suche nach einer tauglichen DSGVO-Rechtsgrundlage schwierig, wenn ein Mehrpersonenverhältnis vorliegt.

  • Die Einwilligung ist im Arbeitsverhältnis mangels Freiwilligkeit oft nicht tragfähig.
  • Die Rechtsgrundlage der Vertragserfüllung kann nicht herangezogen werden, wenn der Betroffene nicht der Vertragspartner des Dateninhabers ist.
  • Die rechtliche Verpflichtung scheidet ebenfalls aus, weil der Data Act beim Auseinanderfallen von Nutzer und Betroffenem nicht als Rechtsgrundlage für die Gewährung des Zugangs zu personenbezogenen Daten herangezogen werden kann.
  • Das berechtigte Interesse ist am ehesten als Rechtsgrundlage geeignet. Beim Dateninhaber kann man durchaus ein berechtigtes Interesse annehmen, seine gesetzliche Datenbereitstellungspflicht aus dem Data Act zu erfüllen. Allerdings sollte der Dateninhaber in seine eigene Interessenabwägung auch einbeziehen, ob der Nutzer wiederum die Daten rechtmäßig nutzen darf, da dies der finale Zweck der Datenübermittlung ist. Hier stellt sich jedoch die Problematik, dass der Dateninhaber die Umstände und Auswirkungen der nachfolgenden Datenverarbeitung auf den Betroffenen nicht beurteilen können wird.

Wertungswidersprüche zwischen Data Act und DSGVO

In diesem Spannungsfeld werden die Wertungswidersprüche zwischen Data Act und DSGVO anhand folgender Fragen offenbar:

  • Muss der Nutzer dem Dateninhaber einen Nachweis liefern, dass eine Rechtsgrundlage für den Zugang zu den Daten und die nachfolgende Verarbeitung vorliegt?
  • Treffen den Dateninhaber Prüfpflichten bzw. trägt er gar die Beweislast, dass eine Rechtsgrundlage vorliegt?
  • Oder reicht eine vertragliche Zusicherung des Nutzers aus, dass eine Rechtsgrundlage gegeben ist?
  • Könnte der Dateninhaber möglicherweise für die Bereitstellung der Daten in die Rolle eines Auftragsverarbeiters schlüpfen und auf Weisung des Nutzers handeln? Dies widerspräche zwar der Systematik des Data Acts, die für den Dateninhaber eine Controller-Rolle vorsieht. Eine solche Konstruktion hätte aber den Vorteil, dass die Verantwortlichkeit für die nachfolgende Datenverarbeitung klar dem Nutzer zugewiesen würde, der die direkte Beziehung zum Betroffenen hat.

Konkretisierung erst in der Zukunft zu erwarten

Obwohl aktuell im Zusammenspiel des Data Acts mit der DSGVO noch viele Fragen offen sind, ist der Data Act seit dem 12. September 2025 unmittelbar anwendbares EU-Recht. Seit diesem Zeitpunkt müssen alle Hersteller von vernetzten Produkten in der Lage sein, mögliche Ansprüche von Nutzerseite zu bedienen. Dabei herrscht im Moment noch erhebliche Rechtsunsicherheit.

Die EU-Kommission hat erstmals im September 2024 FAQs zum Data Act zur Verfügung gestellt. Diese haben jedoch nicht sämtliche Praxisfragen beantwortet. Der Europäische Datenschutzausschuss (EDSA) hat angekündigt, dass er detaillierte Leitlinien zum Zusammenspiel zwischen Data Act und DSGVO veröffentlichen wird. Dies lässt auf größere Rechtsklarheit hoffen. Erst in der Zukunft ist zu erwarten, dass es eine ausreichende Konkretisierung durch Aufsichtsbehörden und Gerichte geben wird. Es wird sicher einige Jahre dauern, bis sich das Verhältnis zwischen Data Act und DSGVO zufriedenstellend geklärt hat.

Gestaltungschance für Datenschützer

Datenschützer und Data Compliance Officer stehen vor der spannenden Aufgabe, das neue Rechtsgebiet des Datenrechts aktiv mitzugestalten. Während die DSGVO im Jahr 2016 noch das erste und einzige Gesetz im Bereich des europäischen Datenrechts war und den Fokus klar auf den Datenschutz gelegt hat, kommen jetzt durch die neuen Digitalrechtsakte weitere Facetten hinzu. Das Zusammenspiel von Data Act und DSGVO zeigt eindrucksvoll, wie dynamisch und vielschichtig sich das europäische Datenrecht entwickelt. Diese Komplexität eröffnet Chancen für eine moderne, nutzerzentrierte und zugleich datenschutzkonforme Data Governance.

Das neue europäische Datenrecht eröffnet Chancen für eine moderne, nutzerzentrierte und zugleich datenschutzkonforme Data Governance.

Dr. Birte MössnerKonzerndatenschutzbeauftragte, Leiterin Data Privacy & Data Compliance, Daimler Truck
Das aktuelle Handelsblatt Journal
Dieser Artikel ist im aktuellen Handelsblatt Journal
„Cybersecurity & Datenschutz“ erschienen. Das vollständige Journal können Sie sich hier kostenlos herunterladen:
Zum Journal