Data-Act vs. Datenschutz: Abgrenzung von personenbezogenen Daten und industriellen Daten
Für Unternehmen, die in der EU vernetzte Dienste oder Produkte erbringen, gilt seit dem 12. September 2025 der EU Data Act (DA) (Verordnung (EU) 2023/2854).Das Durchführungsgesetz zum Data Act wurde am 29.10.2025 offiziell vom Bundeskabinett verabschiedet („Gesetz zur Anwendung und Durchsetzung der Datenverordnung (Datenverordnung-Anwendungs-und-Durchsetzungs-Gesetz – DADG)“). Ausgenommen von den Bestimmungen sind Unternehmen mit weniger als 50 Mitarbeitern und einem Jahresumsatz bzw. einer Jahresbilanz unter 10 Mio. Euro.
Der Data Act ist der letzte Baustein in der europäischen Datenstrategie (wir berichteten bereits über den Data Governance Act (DGA)) und soll einen umfassenden Rechtsrahmen schaffen, um den Zugang zu und die Nutzung von Daten unionsweit zu harmonisieren.
Anwendungsbereich
Der europäische Gesetzgeber erkennt mit dem Data Act an, dass sowohl personenbezogene als auch nicht personenbezogene Daten wie etwa industrielle Daten, (vgl. Art. 1 Abs. 2 DA) ein wesentlicher Baustein unserer modernen Gesellschaft sind, den Daten sind überall und wachsen in einem beispiellosen Tempo.
Der Data Act bringt verschiedene Regelungsansätze zusammen. Ziel ist es, bislang ungenutzte Datenbestände zu erschließen. Wichtig zu beachten ist, dass der Data Act jedoch lediglich auf Produktdaten und verbundene Dienstdaten von vernetzten Produkten Anwendung findet.
Als vernetzte Produkte werden Gegenstände bezeichnet, die Daten über ihre Nutzungsumgebung und ihre Nutzung selbst erfassen und die diese Informationen etwa über eine im Gerät vorhandene Schnittstelle übermitteln können (Art. 2 Nr. 5 DA).
Verbundene Dienste (Art. 2 Nr. 6 DA) ergänzen vernetzte Produkte und erweitern deren Funktionalität. Dabei handelt es sich um digitale Dienste, die eine oder mehrere Funktionen des vernetzten Produkts ermöglichen, indem sie beispielsweise durch Befehle auf dessen Aktivität oder Verhalten einwirken.
Gemeint sind damit etwa Internet of Things-Geräte (IoT) in Bereichen wie Consumer Electronics, Smart Home oder Mobilität. Aber auch virtuelle Assistenten, wie etwa Sprachassistenten oder KI-basierte Steuerungssysteme sind vom Anwendungsbereich des Data Acts erfasst, soweit diese mit einem vernetzten Produkt oder verbundenen Dienst interagieren (vgl. Art. 1 Abs. 4 DA).
Personenbezogene Daten vs. industrielle Daten
-Im Rahmen des Data Acts ist daher eine Abgrenzung zwischen personenbezogenen Daten und industriellen Daten von zentraler Bedeutung. Diese Abgrenzung bildet die Grundlage für den rechtlichen Rahmen.
Personenbezogene Daten sind gem. Art. 4 Nr. 1 DS-GVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, also Daten, die Rückschlüsse auf eine Person ermöglichen, wie z.B. Namen, Kontaktdaten, Standortdaten oder auch biometrische Merkmale.
Industrielle Daten hingegen sind typischerweise Messwerte, Sensordaten, Produktionsdaten oder sonstige Daten, die nicht direkt oder indirekt auf eine natürliche Person zurückgeführt werden können. Sie sind typischerweise nicht personenbezogen und fallen daher grundsätzlich nicht unter die Anforderungen der DS-GVO.
Eine Ausnahme hiervon bilden die hybride Datenätze.
Als hybride Datensätze werden Daten bezeichnet, die sowohl personenbezogene Informationen als auch nicht-personenbezogene Daten kombinieren.
Solche Datensätze enthalten regelmäßig Merkmale, die eine Identifizierung einer betroffenen Person ermöglichen, aber gleichzeitig auch technische, betriebliche oder anonyme Daten umfassen können.
Ein Beispiel hierfür sind die Protokolldaten einer Maschine, in denen regelmäßig technische Daten wie die Betriebszeiten gespeichert werden. Darüber hinaus werden unter Umständen auch mitarbeiterbezogene Daten wie der Name des Bedieners oder Login-Informationen gespeichert.
In solchen Fällen verlangt die DS-GVO erhöhte Schutzmaßnahmen sowie eine differenzierte Behandlung der Daten entsprechend ihrem Inhalt.
Eine eindeutige Definition der Begriffe ermöglicht es Unternehmen und Nutzern, ihre Rechte und Pflichten besser zu verstehen und dies auch im Vertragswerk angemessen zu berücksichtigen. Nur so kann sowohl der Schutz der Privatsphäre als auch die wirtschaftliche Nutzbarkeit von Daten optimal und rechtlich sicher gewährleistet werden.
DS-GVO vs. Data Act
Bislang basierte die europäische Datenpolitik größtenteils auf den Prinzipien der DS-GVO und den dort bestehenden Grundsätzen. Die DS-GVO stellt den maßgeblichen Rechtsrahmen für den Schutz von personenbezogenen Daten, indem sie regelt, wie personenbezogene Daten verarbeitet, gespeichert und genutzt werden dürfen. Darüber hinaus gewährt sie den betroffenen Personen umfassende Rechte, wie das Recht auf Auskunft oder Löschung. Der Data Act hingegen zielt darauf ab, einen harmonisierten Rahmen zu schaffen, in dem festgelegt wird, wer und unter welchen Bedingungen bzw. auf welcher Grundlage berechtigt ist auf die Daten zuzugreifen, die durch vernetzte Produkte oder verbundene Dienste erzeugt werden. Zudem soll der Data Act Erleichterung schaffen beim Wechsel zwischen Datenverarbeitungsdiensten.
Sollte es zu Widersprüchen kommen, hat die DS-GVO gemäß Art. 1 Abs. 5 DA Vorrang. Das bedeutet für die Praxis, dass, sofern ein Datensatz personenbezogene Daten enthält, die Regelungen der DS-GVO gelten und für die Herausgabe ein Erlaubnistatbestand erfüllt sein muss. Die Grenze für die begriffliche Einordnung, wann bereits ein Bezug zu einer Person vorliegt, ist niedrig. So soll es regelmäßig ausreichen, wenn der Dateninhaber (vgl. Art. 2 Nr. 13 DA) die Möglichkeit hat, die Informationen derart zusammenzuführen, dass eine betroffene Person identifiziert werden kann. Somit kann die Datenherausgabe auf Basis des DA verweigert werden, wenn kein Erlaubnistatbestand, wie etwa eine Einwilligung (Art. 6 Abs. 1 S. lit. a) DS-GVO), vorliegt.
Vertragliche Regelungen
Der Data Act schafft neue, verbindliche Spielregeln für den Zugang zu und die Nutzung von nicht- personenbezogenen Daten. Nutzer erhalten z.B. einen gesetzlichen Anspruch darauf, dass ihnen die Daten, die bei der Nutzung entstehen, zugänglich gemacht werden müssen.
Die Datenzugangsrechte machen Daten handelbar und verankern erstmals grundlegende Ausgestaltungsvorgaben in Verträgen zwischen Dateninhabern und Nutzern.
Ferner regelt der Data Act, dass der Nutzer die Kontrolle über die durch seine Nutzung entstehenden Daten behält. Dadurch wird die Verfügungsmacht des Dateninhabers, der die Daten tatsächlich kontrolliert, eingeschränkt. In der Praxis bedeutet das, dass zwar kein ausschließliches Recht des Nutzers an den Daten entsteht, der Nutzer jedoch um Erlaubnis gefragt werden muss.
Dies hat zur Folge, dass Dateninhaber (Unternehmen) ihre Verträge mit Kunden anpassen müssen. Künftig müssen Kauf-, Lizenz- oder sonstige Verträge zwischen Dateninhabern und Nutzern über die Nutzung der „Produkte“ zwingend auch Aussagen zur Datennutzung durch den Dateninhaber beinhalten. Wie diese ausgestaltet sind, unterliegt den allgemeinen Grenzen der Vertragsfreiheit.
Für personenbezogene Daten gilt weiterhin ausschließlich die DS-GVO. Das gilt auch für hybride Daten. Für die Praxis bedeutet das: Ein Hersteller von vernetzten Diensten oder Produkten muss für den Zugriff auf industrielle Daten den Data Act beachten, während für die personenbezogenen Daten der Nutzer die DS-GVO gilt. Das Vertragswerk muss also beide Regelwerke berücksichtigen und entsprechend die Pflichten und Grenzen definieren.
Fazit und Ausblick
Mit dem Data Act hat die EU ein umfassendes Regelwerk geschaffen, das den Zugang zu und die Nutzung von nicht-personenbezogenen Daten, insbesondere im IoT, europaweit harmonisiert. Ergänzt wird der Data Act durch den Data Governance Act, der das Unionsdatenrecht weiter verstärkt.
Eine zentrale Herausforderung ist die Abgrenzung zur DS-GVO, dessen Vorrang bei Kollisionsfällen gesetzlich verankert ist. Unternehmen müssen sich daher mit der Frage auseinandersetzen, ob durch technische oder vertragliche Gestaltungen personenbezogene Daten zu Unrecht als nicht-personenbezogen behandelt werden, um den Zugang nach dem Data Act zu umgehen. Die DS-GVO verbietet eine solche missbräuchliche „Flucht“ durch den Grundsatz der Datensparsamkeit. Dennoch birgt die weite Definition personenbezogener Daten ein Risiko für komplexe Auslegungsfragen, die die Rechtspraxis künftig klären wird.
Unternehmen sind deshalb gefordert, Datenarten sorgfältig zu kategorisieren und ihre Vertragswerke zwischen Data Act und DS-GVO präzise abzustimmen, um Rechtskonflikte und Haftungsrisiken zu vermeiden. Der Data Act bringt neue Nutzerrechte und einen fairen, transparenten Datenzugang, die die europäische Datenwirtschaft stärken und Innovationen fördern. Zugleich bleibt der Datenschutz eine unverrückbare Leitlinie der EU-Datenpolitik, die in der Praxis eine ausgewogene Balance verlangt.
Unsere Handlungsempfehlungen:
- Klare Abgrenzung zwischen personenbezogenen Daten und industriellen Daten.
- Überprüfung und Überarbeitung der bestehenden Vertragswerke
- Dokumentation und Erfüllung der Informationspflichten sowie der Datenschutzrechtlichen Pflichten (Nachweis der Einwilligung)
- Überarbeitung der technischen und organisatorischen Maßnahmen, um sowohl den „Data-Access-by-Design“-Grundsatz als auch die datenschutzrechtlichen Grundsätze zu erfüllen.
Gerne unterstützen wir Sie dabei, diese komplexen Anforderungen zu erfüllen.
Nehmen Sie Kontakt zu uns auf und lassen Sie sich jetzt von unseren Experten beraten, wie auch Ihr Unternehmen rechtssicher die Chancen des Data Act nutzen kann.
