Der Data Act und seine Tücken: Wenn technische Daten persönlich werden

Zuletzt aktualisiert am 11.11.2025

Der Data Act ist mehr als nur ein weiteres Regelwerk im europäischen Datenrecht. Er soll den Austausch von technischen Unternehmensdaten erleichtern: Daten aus Maschinen, Fahrzeugen oder Smart-Home-Geräten sollen leichter zugänglich, teilbar und wirtschaftlich nutzbar werden. Damit will die Europäische Union Innovation fördern, neue Geschäftsmodelle ermöglichen und den fairen Wettbewerb stärken.

Doch dieser neue Datenzugang bringt auch neue Verantwortung. Moderne Analyseverfahren und künstliche Intelligenz machen es möglich, aus scheinbar neutralen Maschinendaten Rückschlüsse auf einzelne Personen zu ziehen und damit direkt in den Anwendungsbereich der DSGVO zu geraten.

Genau hier setzt dieser Beitrag an: Er zeigt, wo der Data Act Chancen eröffnet und wo er rechtliche Unsicherheiten hinterlässt. Wir beleuchten, warum Unternehmen sich zwischen Datenfreiheit und Datenschutz neu positionieren müssen, welche Risiken der staatliche Datenzugriff mit sich bringt und weshalb der Schulterschluss zwischen Data Act und DSGVO zur zentralen Compliance-Herausforderung wird.

Wo Maschinen- und Personendaten ineinander übergehen

Ein zentrales Ziel des Data Act ist es, Daten aus vernetzten Produkten leichter zugänglich und nutzbar zu machen. Dazu gehören beispielsweise Nutzungsinformationen, Standortdaten oder Zeitmuster aus Maschinen, Fahrzeugen oder Smart-Home-Geräten. Diese Informationen gelten laut Data Act zunächst als technische Daten – also als nicht personenbezogen. Doch die Realität zeigt ein anderes Bild. Durch moderne Analyseverfahren, Big-Data-Auswertungen und den Einsatz künstlicher Intelligenz können aus rein technischen Daten plötzlich Rückschlüsse auf einzelne Personen gezogen werden. So lassen sich aus Bewegungsprofilen, Nutzungsverhalten oder zeitlichen Mustern Identitäten rekonstruieren oder Gewohnheiten ableiten.

Genau hier liegt eine der größten Herausforderungen des Data Act: Die Verordnung bietet keine klaren Kriterien oder Schwellenwerte, ab wann technische Daten als personenbezogen zu behandeln sind. Für Unternehmen bedeutet dies rechtliche Unsicherheit – insbesondere im Spannungsfeld zwischen Datennutzung, Datenschutz und Compliance-Verantwortung.

Zwischen Datenzugriff und Datenschutzpflicht

Die Artikel 4 und 5 des Data Act gewähren Nutzern Rechte auf Zugriff auf die von ihnen erzeugten Daten und ermöglichen auf Wunsch deren Weitergabe an Dritte. So können Energieverbrauchsdaten oder Bewegungsprofile an Dritte übertragen werden, beispielsweise für Wartungsservices oder alternative Dienstleister.

Doch hier zeigt sich eine Schwachstelle. Zwar verlangt der Data Act, dass keine Rückschlüsse auf andere Nutzer gezogen werden dürfen, konkrete technische Anforderungen an Anonymisierung oder Pseudonymisierung fehlen jedoch. Dadurch entsteht eine rechtliche Grauzone. Unternehmen müssen einerseits den Datenzugang ermöglichen, andererseits sicherstellen, dass Datenschutzpflichten gewahrt bleiben.

Person blickt auf digitale Datenströme – Symbolbild für den Data Act, Datentransparenz und verantwortungsvolle Datennutzung.

Staatlicher Zugriff mit Nebenwirkungen

Auch staatliche Behörden erhalten im Rahmen des Data Act unter bestimmten Bedingungen Zugriff auf technische Daten. Nach Kapitel V (Art. 14 ff.) des Data Act dürfen öffentliche Stellen unter bestimmten Bedingungen Daten von Unternehmen anfordern, wenn eine „außergewöhnliche Notwendigkeit“ besteht, beispielsweise zur Bewältigung einer öffentlichen Notlage wie einer Naturkatastrophe oder Pandemie. Diese Regelung des Data Act soll es Behörden ermöglichen, schneller und effizienter auf Daten zuzugreifen, um öffentliche Aufgaben zu erfüllen.

Doch genau dieser staatliche Zugriff birgt erhebliche Datenschutzrisiken. Der Data Act definiert nicht eindeutig, ob oder wann solche Daten einen Personenbezug herstellen. Besonders bei Standort- oder Bewegungsdaten kann dies problematisch werden. Schon geringe Kontextinformationen reichen oft aus, um Einzelpersonen zu identifizieren. Ohne klare Grenzen und Datenschutz-Folgenabschätzungen droht ein schleichender Verlust der Kontrolle über persönliche Informationen.

DSGVO greift – aber erst im Nachhinein

Der Data Act verweist zwar ausdrücklich auf die Vorrangigkeit der Datenschutz-Grundverordnung (DSGVO), sobald personenbezogene Daten betroffen sind. Die Verordnung selbst liefert jedoch keine klaren Vorgaben, wie die Anforderungen des Datenschutzrechts konkret mit den Vorgaben des Data Act zu vereinbaren sind. Das betrifft insbesondere Datenschutzgrundprinzipien wie Zweckbindung, Datenminimierung und Transparenz.

Damit bleibt die Verantwortung für die rechtskonforme Umsetzung größtenteils bei den Unternehmen selbst. Bei komplexen Datenflüssen – etwa bei der Nutzung vernetzter Produkte oder cloudbasierter Dienste – kann dies zu erheblichen Risiken führen. Vor allem dann, wenn Daten zunächst als technisch gelten, später aber durch Auswertungen oder Verknüpfungen mittels einer KI einen Personenbezug erhalten.

Sie wollen up to date bleiben?

In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unseren Fachartikel zur datenschutzkonformen Umsetzung des Hinweisgeberschutzgesetzes.

Online-Formular wird hier erscheinen

Fazit: Innovation braucht Datenschutz als Grundlage

Der Data Act verfolgt drei zentrale Ziele: Er soll den Austausch und die Nutzung von Unternehmensdaten verbessern, die datenbasierte Wertschöpfung erhöhen und die Innovationen in Europa fördern. Unternehmen sollen Daten effizienter nutzen und teilen können, um neue Geschäftsmodelle und digitale Services zu entwickeln. Doch wo technische Daten Rückschlüsse auf Personen zulassen, darf der Datenschutz nicht zur Nebensache werden.

Gerade im Zusammenspiel mit der DSGVO zeigt sich, dass der Data Act noch offene Fragen hinterlässt. So lange es an klaren technischen Spezifikationen und verbindlichen Regelungen zur datenschutzkonformen Verknüpfung des Data Act mit der DSGVO mangelt, entstehen für Unternehmen erhebliche Rechts- und Umsetzungsspielräume, die zu Unsicherheiten in der Compliance-Praxis führen können. Der Data Act kann nur dann sein volles Potenzial entfalten, wenn Innovation und Grundrechtsschutz gleichermaßen gewährleistet sind. Für Unternehmen bedeutet dies: Datenschutz muss von Anfang an ein integraler Bestandteil der Datenstrategie sein.

Sie haben Fragen zur rechtssicheren Datenweitergabe oder zur DSGVO-konformen Verarbeitung technischer Daten? Unser Team unterstützt Sie gerne.

Sprechen Sie uns an!

Quellen

Bundesministerium des Innern für das Bundesministerium für Digitales und Staatsmodernisierung (2025): „Data Act“, Berlin, https://bmds.bund.de/themen/digitale-wirtschaft/data-act , letzter Zugriff 23.10.2025

Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen: „Informationen und Hintergründe zum Data Act“, Bonn, https://www.bundesnetzagentur.de/DE/Fachthemen/Digitales/DataAct/Hintergrund/start.html, letzter Zugriff 23.10.2025

Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen: „Data Act - die Europäische Datenverordnung“, Bonn, https://www.bundesnetzagentur.de/DE/Fachthemen/Digitales/DataAct/start.html, letzter Zugriff 23.10.2025

Deutsche Industrie- und Handelskammer: „Data Act“, Berlin, https://www.dihk.de/de/themen-und-positionen/wirtschaft-digital/dihk-durchblick-digital/data-act-63748, letzter Zugriff 23.10.2025

Europäische Kommission (2025): „Datengesetz erklärt“, Brüssel, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained, letzter Zugriff 23.10.2025