Der Data Act der EU

Mit dem Data Act schafft die EU neue Regeln für die Nutzung und den Zugang zu Daten aus vernetzten Produkten und digitalen Diensten. Nutzer erhalten noch mehr Kontrolle über ihre Daten, Unternehmen müssen sie unter bestimmten Bedingungen bereitstellen. Das betrifft zum Beispiel Smart-Home-Geräte, vernetzte Fahrzeuge oder Maschinen in der Industrie. 

Zudem macht das Gesetz klare Vorgaben für den Wechsel zwischen Cloud-Anbietern und will Abhängigkeiten verhindern («Lock-in-Effekte»). Auch Schweizer Unternehmen, die in der EU tätig sind, müssen die neuen Vorgaben beachten. 

Der Data Act ist seit dem 11. Januar 2024 in Kraft und ab dem 12. September 2025 verbindlich. Verstösse können mit hohen Strafen geahndet werden – ähnlich wie bei der DSGVO. 

Swico will Unternehmen gezielt auf die neuen Anforderungen vorbereiten. Unsere Q&As orientieren zu den technischen, vertraglichen und organisatorischen Veränderungen. So können Unternehmen die Auswirkungen des Data Acts einschätzen und Chancen sowie Risiken besser bewerten. Die Inhalte wurden von den Rechtsexpertinnen und -experten des Swico Legal Circle und der Swico Geschäftsstelle erarbeitet.

Die 10 Schlüsselthemen des EU Data Acts im Überblick

1. Betroffenheitsanalyse – Wer muss den Data Act einhalten? 

Der Data Act betrifft Unternehmen entlang der gesamten digitalen Wertschöpfungskette. Das sind Hersteller vernetzter Produkte, Anbieter digitaler Dienste, Nutzer, Dateninhaber und Datenempfänger. Auch öffentliche Stellen erhalten unter bestimmten Bedingungen Zugriff auf Daten. Schweizer Unternehmen mit Geschäftsbeziehungen in die EU müssen die neuen Regeln beachten. 

2. Gewährung von Zugangsrechten – Wer darf welche Daten nutzen? 

Nutzer vernetzter Produkte erhalten das Recht auf Zugriff und Weitergabe der von ihnen generierten Rohdaten. Unternehmen müssen den Zugang entweder direkt («Data Access by Design») oder auf Anfrage («Indirect Access») ermöglichen. Besondere Vorschriften regeln, unter welchen Bedingungen Daten weitergegeben werden dürfen und welche Daten vom Zugriff ausgeschlossen sind.

3. Vorvertragliche Informationen – Welche Pflichten haben Unternehmen? 

Hersteller und Dienstleister müssen potenzielle Kunden vor Vertragsabschluss transparent über Art, Umfang und Nutzung der anfallenden Daten informieren. Dazu gehören auch Details zur Weitergabe, Speicherdauer und Schutzmassnahmen. Ohne diese Information kann kein wirksamer Zugang zu den Daten gewährleistet werden.

4. Datennutzungsverträge – Was regeln sie und wann sind sie nötig? 

Datennutzungsverträge legen fest, wie Daten verwendet, weitergegeben und geschützt werden. Sie sind erforderlich, wenn Unternehmen Daten von Nutzern oder Dritten erhalten oder weiterverarbeiten möchten. Insbesondere im B2B-Bereich müssen die Verträge fair, transparent und nicht-diskriminierend gestaltet sein. 

5. Datennutzungsrecht durch Dritte – Welche Regeln gelten? 

Nutzer dürfen ihre Daten an Dritte weitergeben, etwa für Reparaturen oder alternative Dienstleistungen. Dritte dürfen diese Daten aber nur für die vereinbarten Zwecke nutzen und nicht für die Entwicklung konkurrierender Produkte. Der Data Act schützt Geschäftsgeheimnisse und legt klare Grenzen für die Verarbeitung durch Dritte fest.

6. Technische Schutzmassnahmen – Wie werden Daten gesichert? 

Dateninhaber müssen sicherstellen, dass Daten vor unbefugtem Zugriff geschützt sind. Dazu gehören Verschlüsselung, Zugriffskontrollen und Smart Contracts. Schutzmassnahmen dürfen jedoch nicht missbräuchlich eingesetzt werden, um den gesetzlich garantierten Datenzugang zu behindern. 

7. Bereitstellung von Daten für öffentliche Stellen – Wann ist sie verpflichtend? 

In Krisensituationen oder bei öffentlichen Notständen können Behörden die Herausgabe bestimmter nicht-personenbezogener Daten verlangen. Dies muss verhältnismässig sein und ist nur zulässig, wenn die Daten auf anderem Wege nicht rechtzeitig beschafft werden können. Geschäftsgeheimnisse sind dabei besonders geschützt.

8. Cloud Switching – Wie wird der Anbieterwechsel erleichtert? 

Cloud-Anbieter müssen es Kunden ermöglichen, ihre Daten einfach und ohne hohe Kosten zu einem anderen Anbieter zu übertragen. Bis 2027 dürfen Wechselgebühren erhoben werden, danach wird der Anbieterwechsel kostenfrei. Technische Standards für Interoperabilität sollen den Umstieg erleichtern.

9. Benennung eines Vertreters in der EU – Wer braucht ihn und warum? 

Unternehmen mit Sitz ausserhalb der EU, die dort Produkte oder Dienste anbieten, müssen einen Vertreter in der EU benennen. Dieser fungiert als Ansprechpartner für Behörden und unterstützt die Einhaltung des Data Acts. Ohne eine solche Vertretung können Sanktionen verhängt werden. 

10. Sanktionen und Vollzug – Welche Strafen drohen? 

Verstösse gegen den Data Act können teuer werden: Bussgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes sind möglich. Nationale Behörden überwachen die Einhaltung und Nutzer haben das Recht, Beschwerden einzulegen oder rechtliche Schritte einzuleiten.

Wie betrifft der EU Data Act Ihr Unternehmen? Wer darf künftig auf Ihre Daten zugreifen? Und welche Bussgelder drohen bei Verstössen? Unser Experten-Guide liefert konkrete Antworten auf die entscheidenden Fragen zum neuen Datengesetz.