Data Act Zeitstrahl zur Umsetzung in Unternehmen
Rechtsnews 20.01.2026 Christian Schebitz

Data Act: Was Unternehmen jetzt wissen müssen

Praxisleitfaden „Data Act“, zu Datenzugang, Daten-Governance und Compliance

Der Deutsche Bundestag hat am 16. Januar 2026 zwei Gesetzentwürfe zur Umsetzung des europäischen Data Act (Verordnung (EU) 2023/2854) und des Daten-Governance-Rechtsakts (Verordnung (EU) 2022/868) in die parlamentarische Beratung eingebracht. Damit nimmt die nationale Durchführung erkennbar Tempo auf. Hintergrund: Große Teile des Data Act gelten EU-weit bereits seit dem 12. September 2025, weitere Pflichten greifen stufenweise bis 2027. Deutschland schafft nun die notwendigen Zuständigkeits-, Verfahrens- und Sanktionsregeln. Zentral ist die geplante Benennung der Bundesnetzagentur (BNetzA) als Aufsichts- und Durchsetzungsbehörde sowie als Anlaufstelle für Streitbeilegung. Für Unternehmen aus Industrie, Mittelstand, Digitalwirtschaft, Healthcare, Energie und Mobilität ist das ein Gamechanger.

Juristisch ordnet sich der Data Act als horizontale Marktordnung für IoT-Daten, verbundene Dienste und Cloud-Ökosysteme neben Datenschutz (DSGVO) und Wettbewerbsrecht ein. Er regelt insbesondere Datenzugangsrechte, Fairness von Vertragsklauseln, Portabilität und Interoperabilität (u. a. beim Cloud-Wechsel), behördliche Zugriffsszenarien in Notlagen sowie Pflichten von Dateninhabern und Datennutzern. Der Daten-Governance-Rechtsakt ergänzt das Bild um Datentreuhänder, Datenaltruismus und Regeln für die Weiterverwendung geschützter öffentlicher Daten. Wer jetzt nicht handelt, riskiert spürbare Sanktionen, Rechtsunsicherheit und Wettbewerbsnachteile.

Ihr gutes Recht – jetzt mit KI klären lassen.

Jetzt mit einem
Anwalt sprechen

Telefonische Rechtsberatung
persönlich & lösungsorientiert

34,99  *
  • 15 / 30 / 45 Minuten wählbar
  • Antwort in ca. 4 Stunden
  • Wenn Reden wichtig ist
Zur Hotlineauswahl

Direkt klären, statt schreiben.

KI-Ersteinschätzung zur Rechtsfrage
  • PDF-Antwort in 5 klaren Kapiteln auf Ihre Frage
  • Optional:
  • Check von bis zu 5 Dokumenten (PDF)
  • Telefonat mit einem Anwalt zum Thema
29,99  *
Prüfprotokoll EU AI Act
Zur LexBot Auswahl
Strukturierte KI-Ersteinschätzung als PDF zu Ihrer Rechtsfrage. Mit Einordnung, nächsten Schritten und Musterschreiben (falls passend). Sicher im Dashboard abrufbar - optional mit Dokumenten-Check & Anwaltstelefonat.

Schriftliche Antwort
vom Anwalt

Eine Rechtsfrage mit
Dokumentenprüfung

99,99  *
  • Schriftliche, anwaltliche, Ausarbeitung
  • Upload eines Dokumentes
  • Eine Rückfrage inklusive
Schriftliche Beratung wählen

Wenn es vom Anwalt schriftlich sein soll

*alle Preise inkl. MwSt.
LexBot® ist als Marke geschützt und beim Deutschen Patent- und Markenamt (DPMA) registriert.

Offizielle Informationen: Bundestag zur Umsetzung von EU-Vorgaben , EUR-Lex: Data Act, EUR-Lex: Daten-Governance-Rechtsakt.

Vertiefende Analyse: Inhalte, Zeitplan, Zuständigkeiten

1) Anwendungsbereich und Zielsetzung
Der Data Act schafft einheitliche Regeln dafür, wer unter welchen Bedingungen Produkt- und Service-Daten nutzen darf. Er adressiert vernetzte Produkte (z. B. Maschinen, Fahrzeuge, MedTech, Smart-Home-Geräte) und verbundene Dienste. Dateninhaber müssen Nutzern den Zugang zu den durch die Nutzung erzeugten Daten ermöglichen und deren Weitergabe an Dritte ermöglichen, sofern legitime Interessen und Schutzvorkehrungen gewahrt werden. Besonders relevant sind technische und vertragliche Anforderungen an den Export in gängige, interoperable Formate sowie Schutz von Geschäftsgeheimnissen.

2) Vertragliche Fairness und AGB-Kontrolle
Der Data Act enthält Black- und Grey-Lists unzulässiger/unfairer Vertragsklauseln gegenüber KMU. Das wird die Vertragsgestaltung entlang ganzer Lieferketten verändern: Datenaustausch darf nicht mehr durch Knebelklauseln verhindert oder unangemessen verteuert werden. Unternehmen sollten bestehende AGB und Datenlizenzmodelle zeitnah einer Gap-Analyse unterziehen. Offizieller Rahmen: EU-Kurzüberblick zum Data Act.

3) Cloud-Portabilität und Interoperabilität
Cloud-Wechselbarrieren (Egress-Fees, proprietäre Schnittstellen, Lock-in) werden schrittweise abgebaut. Anbieter müssen standardisierte Exportmechanismen und Schnittstellen bereitstellen. Für IT-Leitungen ist das eine Hausaufgabe: Daten- und Workload-Migrationspläne, Exit-Strategien und technische Interoperabilität gehören künftig in jedes Sourcing-Projekt. Zeitlich wichtig: einzelne Übergangsfristen laufen bis 2026/2027. Vgl. die Anwendungsdaten in EUR-Lex: Data-Act-Zeitplan (Auszüge).

4) Behördlicher Datenzugriff in Ausnahmelagen
Für Notlagen (z. B. Naturkatastrophen, Pandemien) sieht der Data Act eine Pflicht zur Bereitstellung bestimmter Daten gegenüber öffentlichen Stellen vor – allerdings unter strengen Voraussetzungen, Zweckbindung und Vergütungsregeln. Unternehmen benötigen hierfür klar definierte Eskalations- und Freigabeprozesse sowie ein Mapping, welche Daten betroffen sein können. Wichtig ist die Abgrenzung zu Datenschutzrecht und Strafverfolgungsregelungen; der Data Act ändert die DSGVO nicht.

5) Daten-Governance-Rechtsakt als Flankierung
Der Daten-Governance-Rechtsakt (DGA) schafft einen Rahmen für Datentreuhänder, Datenaltruismus und die Weiterverwendung geschützter öffentlicher Daten. Er soll Vertrauen in datengetriebene Ökosysteme stärken. Für Unternehmen interessant: die Option, über datentreuhänderische Modelle neue Datenquellen zu erschließen. Offizieller Text: DGA auf EUR-Lex.

6) Deutsche Umsetzung: Verfahren, Aufsicht, Sanktionen
Der Gesetzentwurf zur Durchführung des Data Act benennt die Bundesnetzagentur als zentrale Behörde. Sie soll Beschwerden prüfen, Ermittlungen führen, Auskünfte verlangen, vorläufige Anordnungen erlassen und Zwangsgelder bis zu 500.000 Euro verhängen können. Zudem soll sie Streitbeilegungsstellen zulassen und mit Datenschutzbehörden kooperieren. Der Bundesrat fordert Modifikationen (föderale Zuständigkeitsverteilung, Vermeidung von Doppelaufsicht, Ressourcenausstattung); die Bundesregierung lehnt Teile ab bzw. stellt Prüfung in Aussicht. Quellen: Bundestag-Bericht zur 1. Lesung und dazugehörige Drucksache 21/2998 (PDF).

7) Zeitstrahl und Stichtage
Inkrafttreten des Data Act war am 11. Januar 2024; Anwendung in weiten Teilen seit 12. September 2025. Für einzelne Pflichten (z. B. Cloud-Wechsel und Interoperabilitätsanforderungen) gelten zusätzliche Übergangsfristen bis 2026/2027. Unternehmen sollten interne Roadmaps strikt am europäischen Zeitplan ausrichten, da nationale Umsetzungsakte primär Durchsetzungs- und Verfahrensregeln ergänzen, aber den materiell-rechtlichen Kern nicht verschieben.

8) Verhältnis zur DSGVO
Personenbezogene Daten bleiben der DSGVO unterworfen. Der Data Act adressiert primär nicht-personenbezogene bzw. gemischte Datensätze. In der Praxis entstehen Schnittstellenfragen (z. B. bei IoT-Telemetry, die Personenbezug aufweisen kann). Hier sind Anonymisierung, Pseudonymisierung, Datensparsamkeit und Zweckbindung sauber auszugestalten. Aufsichtsseitig kommt es auf die Kooperation zwischen BNetzA und Datenschutzaufsicht an.

Praktische Tipps: So werden Sie Data-Act-ready

  1. Dateninventur & Datenklassifikation: Identifizieren Sie sämtliche Produkt- und Servicedaten, ordnen Sie Eigentums-, Nutzungs- und Geheimnisschutzrechte zu. Dokumentieren Sie, welche Daten Nutzerzugangsrechte auslösen und welche Schutzmaßnahmen erforderlich sind.
  2. AGB- und Vertragsreview: Prüfen Sie Standardklauseln zu Datenzugriff, Nutzung, Vergütung, Geheimnisschutz, Haftung und Audit-Rechten. Entfernen oder ersetzen Sie Klauseln, die nach Data Act als unfair gelten könnten, insbesondere gegenüber KMU. Gestalten Sie ausgewogene Datenlizenz- und API-Terms.
  3. Technische Portabilität: Planen Sie Cloud-Exit-Prozesse, definieren Sie Exportformate, Schnittstellen und Testfenster. Verankern Sie Interoperabilität als Vergabekriterium. Berücksichtigen Sie Vendor-Lock-in-Risiken und Egress-Kosten, die künftig reguliert oder untersagt sein können.
  4. Geheimnisschutz & IP: Etablieren Sie abgestufte Offenlegungs- und Maskierungskonzepte, NDAs, Clean-Room-Architekturen und Zugriffskontrollen. Prüfen Sie, ob essentielle Geschäftsgeheimnisse durch technische und rechtliche Schutzmechanismen ausreichend abgesichert sind.
  5. Governance & Rollen: Benennen Sie Verantwortliche für Data-Access-Requests, legen Sie Eskalationsstufen, Fristen und Dokumentationspflichten fest. Bilden Sie ein interdisziplinäres Team aus Legal, IT, InfoSec, Produkt und Vertrieb.
  6. Compliance-Prozesse für Notlagenzugriffe: Erarbeiten Sie SOPs für Behördenanfragen, inklusive Prüfkriterien, Zweckbindung, Vergütung und Rechtsmittel. Schulen Sie das Incident-Response-Team auf Data-Act-Sonderfälle.
  7. Datentreuhand-Modelle prüfen: Evaluieren Sie, ob über datentreuhänderische Konstrukte (DGA) zusätzliche Datenquellen oder Partnerschaften möglich sind, z. B. mit Forschungsinstitutionen.
  8. Kommunikation & Transparenz: Informieren Sie Nutzer klar über verfügbare Daten, Formate und Prozesse zur Weitergabe an Dritte. Halten Sie FAQs und Self-Service-Portale bereit.
  9. Audit & Monitoring: Legen Sie KPIs für Datennutzungs-, Zugriffs- und Migrationsprozesse fest. Führen Sie interne Audits durch und bereiten Sie sich auf Anfragen der BNetzA vor.
  10. Roadmap & Budget: Planen Sie Ressourcen für 2026/2027, insbesondere für technische Anpassungen, Rechtsberatung und Zertifizierungen. Beachten Sie die Diskussionen zu föderalen Zuständigkeiten und der Ressourcenausstattung der Behörden.

Übersichtliche Tabelle: Pflichten, Fristen und Risiken

Regelungsbereich Wer ist betroffen? Kernpflicht Fristen/Anwendung Behörde/Enforcement Risiken bei Verstoß To-dos
Datenzugang für Nutzer Hersteller vernetzter Produkte, Anbieter verbundener Dienste Bereitstellung der durch Nutzung erzeugten Daten in nutzbarem, interoperablem Format; Weitergabe an vom Nutzer benannte Dritte Seit 12.09.2025, Details je Produkt/Dienst Geplant: Bundesnetzagentur als zentrale Stelle Untersagungsverfügungen, Zwangsgelder, Vertragsstreitigkeiten Dateninventur, Export-Pipelines, Prozesse, Dokumentation
Fairness von Vertragsklauseln Unternehmen, v. a. in B2B-Beziehungen mit KMU Keine unfairen Klauseln zu Datenzugang, Nutzung, Haftung, Preis Laufend; Anpassungen 2026/2027 beachten BNetzA/ Zivilgerichte (Vertragsdurchsetzung) Nichtigkeit/Unwirksamkeit, Bußgelder, Reputationsschäden AGB-Review, Vertragsbausteine, Schulungen Vertrieb
Cloud-Portabilität Cloud-Provider, Kunden aller Größen Interoperable Schnittstellen, Abschaffung Lock-ins, Exit-Prozesse Stufenweise bis 2026/2027 BNetzA; ggf. Kooperation mit IT-Aufsicht/Gremien Migrationsstörungen, SLA-Konflikte, Projektverzug Exit-Runbooks, Test-Migrationen, Vertrags-SLAs anpassen
Behördlicher Zugriff in Notlagen Dateninhaber kritischer Daten Bereitstellung zweckgebunden; Vergütungs-/Schutzregeln Ab sofort im Rahmen Data Act; nationale Verfahren folgen BNetzA; Zusammenarbeit mit Datenschutzaufsicht Rechtsverstöße, Datenschutz-Incidents, Imageschäden SOPs, Rollen, Prüfschemata, Logging, Rechtsmittelwege
Datentreuhand & Datenaltruismus (DGA) Datentreuhänder, Datenaltruismus-Organisationen, Unternehmen Registrierung, Transparenz, Governance, Compliance Laufend; nationale Durchführung konkretisiert Prozesse Zuständige nationale Stellen, Register Untersagungen, Bußgelder, Verlust von Vertrauenswürdigkeit Modellprüfung, Compliance-Handbuch, Verträge/Policies

Fazit

Die deutsche Umsetzung des Data Act und des Daten-Governance-Rechtsakts markiert den Übergang von der Strategie in die Praxis. Mit der Bundesnetzagentur als geplanter Zentralbehörde entsteht ein klares Durchsetzungsregime. Unternehmen sollten keine Zeit verlieren: Wer jetzt Dateninventur, Vertragsreview, Interoperabilität und Governance priorisiert, sichert Compliance und erschließt zugleich neue datengetriebene Geschäftsmodelle. Die Debatte über föderale Zuständigkeiten und Ressourcen der Aufsicht wird andauern, ändert aber nichts daran, dass die materiellen Pflichten aus dem EU-Recht bereits scharf gestellt sind. 2026/2027 wird zum Lackmustest: Wer vorbereitet ist, profitiert. Wer abwartet, riskiert Bußgelder, Rechtsstreitigkeiten und Lock-in-Kosten.

Rechtlicher Hinweisblock
  • Haftungsausschluss: Dieser Beitrag dient der allgemeinen Information und erhebt keinen Anspruch auf Vollständigkeit.
  • Keine Rechtsberatung: Die Ausführungen stellen keine Rechtsberatung im Einzelfall dar und können diese nicht ersetzen.
  • Passenden Anwalt finden: Anwalt für IT-Recht
  • Telefonische Rechtsberatung 30 Minuten / 49,99 €*: Jetzt anfragen
  • LexBot – erstklassige KI-Rechtsberatung ab 29,99 €*: Zum LexBot
  • Dieser Artikel wurde mit Hilfe von KI erstellt.

Weiterführende offizielle Quellen:
Bundestag: Umsetzung von EU-Vorgaben zum Datenzugang und zur Datennutzung (1. Lesung, 16.01.2026)
Gesetzentwurf Data-Act-Durchführungsgesetz (Drucksache 21/2998, PDF)
EUR-Lex: Verordnung (EU) 2023/2854 (Data Act)
EUR-Lex: Data-Act-Zeitplan (Anwendung/Fristen)
EUR-Lex: Verordnung (EU) 2022/868 (DGA)
EU-Kurzüberblick: Fairer Zugang zu Daten (Data Act)

Sollte Ihnen dieser Beitrag geholfen haben, so können Sie uns etwas zurückgeben in dem Sie uns bei Google bewerten.

Kostengünstige Rechtsberatung durch Fachanwälte

  • Verbindliche Auskunft vom Rechtsanwalt
  • Festpreis - garantiert
  • innerhalb von 24 Stunden

Beratung durch Anwalt am Telefon

Antwort auf konkrete Fragestellung.
Spezialisierter Anwalt ruft Sie zügig an.

Zur Auswahl der Anwaltshotline 15 min. zum Festpreis ab 29€