Das Wichtigste im Überblick
Das Datenschutzrecht gilt seit 2018: Daneben gelten inzwischen neue Regelungen aus der EU auch für nicht-personenbezogene Daten! Ihr Ziel ist es, die Datenwirtschaft anzukurbeln.
Der Data Act der EU bringt neue Rahmenbedingungen für die Nutzung und den Austausch von Daten. Besonders wichtig ist er für digitale Produkte, IoT-Geräte wie Smartphones, vernetzte Autos oder digitale Maschinen und für Cloud-Services.
Der Data Governance Act sorgt (unter anderem durch Datenräume und die Stärkung freiwilliger Datenspenden) für eine größere Datenverfügbarkeit.
Der AI Act der EU regelt den Umgang mit Künstlicher Intelligenz (KI/AI) in Unternehmen und macht eine Risikoermittlung für das eingesetzte System nötig. Er ist seit August 2024 in Kraft und wird seit Februar 2025 schrittweise anwendbar.
Der Digital Services Act und der Digital Markets Act bringen vor allem für Online-Plattformen und die großen Player in der digitalen Welt – Google, Apple, Meta, Amazon und Microsoft – strenge Pflichten.
Was regelt der Data Act für Unternehmen?
Im Dezember 2023 ist die „Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung” (kurz: Data Act) verkündet worden. Der Großteil der Regelungen muss seit dem 12. September 2025 eingehalten werden. Für die Datenzugangsansprüche zu vernetzten Produkten gilt eine längere Frist bis zum 12. September 2026 – Unternehmen müssen daher jetzt die letzten Umsetzungsschritte abschließen. Dafür müssen Produktdesigns angepasst, Informationen erstellt und Verträge überarbeitet werden. Ziel des Data Acts ist es, personenbezogene und nicht-personenbezogene Daten in unterschiedlichen Lebensbereichen besser nutzbar zu machen und den Wettbewerb in der Datenwirtschaft zu stärken.
Neben der EU-Verordnung wird der Data Act in Deutschland durch das Data-Act-Durchführungsgesetz ergänzt. Dieses bestimmt insbesondere die Bundesnetzagentur (BNetzA) als grundzuständige Aufsichtsbehörde. Für die Aufsicht über die Einhaltung der datenschutzrechtlichen Vorgaben des Data Act bei nicht-öffentlichen Stellen ist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) zentral zuständig.
Gerade die Datenzugangsansprüche im Data Act sind weitreichend. Nutzer und Dritte haben danach einen Anspruch, in Echtzeit die Nutzungsdaten der Produkte und verbundenen Serviceleistungen zu erhalten. Unternehmen, die digitale Produkte herstellen und vertreiben, sollten genau prüfen, ob und wo diese Ansprüche bestehen. Denn die verpflichteten Unternehmen müssen den Datenschutz sicherstellen und ihre Geschäftsgeheimnisse schützen. Beides ist keine leichte Aufgabe angesichts der strengen und teils nicht ganz stimmigen Vorgaben im Data Act. Auf der anderen Seite können sich Start-ups und die Anbieter von Serviceleistungen in Stellung bringen, um als Datenempfänger Zugang zu den Daten zu erhalten und diese für innovative eigene Produkte zu nutzen.
Der Data Act greift hier ein und stellt neue rechtliche Rahmenbedingungen für den Austausch von Daten auf. Hersteller digitaler Produkte müssen Zugang zu den Daten in Echtzeit gewähren, Informationen dazu bereitstellen und Verträge über die Datennutzung abschließen.
Daneben bringt der Data Act noch weitere Pflichten: Der Wechsel zwischen Cloud-Services wird vereinfacht, er muss technisch und kommerziell ohne Hürden ermöglicht werden. Verträge über die Datenverwendung müssen fair gestaltet sein. Cloud-Services, Datenräume und Smart Contracts müssen interoperabel ausgestaltet werden. Und auch nicht-personenbezogene Daten sind beim Transfer in Länder außerhalb der EU vor staatlichen Zugriffen nationaler Behörden zu schützen.
Angesichts dieser umfangreichen neuen Regelungen wird kaum ein Unternehmen in der EU nicht vom Data Act betroffen sein – als Verpflichtete oder auch als Berechtigte!
Was ist Data Governance in Unternehmen?
Der Begriff Data Governance heißt so viel wie „Datenkontrolle” oder „Datenverwaltung”. In Unternehmen umfasst er Tätigkeiten und Maßnahmen, die nötig sind, um Daten und Informationen strategisch und strukturiert zu verwahren und die Prozesse um sie herum zu steuern. Wird zielgerichtete Data Governance betrieben, bedeutet das, dass in einem Unternehmen jederzeit die richtigen Menschen zur richtigen Zeit an die richtigen Daten kommen, die diesem Zweck entsprechend organisiert sind.
Der Data Governance Act ist seit Juni 2022 in Kraft und muss seit September 2023 angewendet werden. Auch er hat eine bessere Verfügbarkeit und Nutzbarkeit von Daten zum Ziel. Zusammen mit dem Data Act wird durch ihn die sogenannte „EU-Datenstrategie” umgesetzt, die für eine größere Datenverfügbarkeit sorgen soll. Dem Data Governance Act liegen drei Säulen zugrunde:
- die Weiterverwendung bestimmter Kategorien geschützter Daten im Besitz öffentlicher Stellen,
- eine Schlüsselrolle von Datenvermittlungsdiensten in der Datenwirtschaft zur Steigerung der Datenverfügbarkeit und
- Datenaltruismus, also eine Steigerung der Datenverfügbarkeit durch freiwillige Datenspenden.
Der Data Governance Act ist für alle Unternehmen, Behörden und Privatpersonen relevant, die mehr Daten nutzen oder zur Verfügung stellen wollen. Sein Schwerpunkt liegt allerdings im nicht-kommerziellen Bereich.
Flankierend zur EU-Verordnung wurde der Data Governance Act in Deutschland durch das Data-Governance-Gesetz umgesetzt. Zentrale nationale Behörde ist auch hier die Bundesnetzagentur (BNetzA), die insbesondere für die Aufsicht über Datenvermittlungsdienste und Datentreuhänder zuständig ist.
Künstliche Intelligenz und der AI Act: Bedeutung für Unternehmen
Immer weitere Verbreitung in Unternehmen findet Künstliche Intelligenz. Selbstlernende Algorithmen benötigen Daten, um überhaupt in Einsatz gelangen zu können. Die EU hat mit der KI-Verordnung (AI Act, VO (EU) 2024/1689) den weltweit ersten umfassenden Rechtsrahmen für Künstliche Intelligenz geschaffen. Die Verordnung ist am 1. August 2024 in Kraft getreten und wird schrittweise anwendbar:
- Seit dem 2. Februar 2025 gelten die Verbote bestimmter KI-Praktiken (z. B. Social Scoring, manipulative KI-Techniken) sowie die Pflicht zur KI-Kompetenz für Anbieter und Betreiber (Zeitschriften – Kowalewski, Lender, BauW 2026, 21Evidenzbasiertes Management mit Hilfe von KI in der Bauwirtschaft; Zeitschriften – GuG 2025, 177Künstliche Intelligenz: Was seit Februar für Unternehmen gilt).
- Seit dem 2. August 2025 gelten die Vorschriften für KI-Modelle mit allgemeinem Verwendungszweck (General Purpose AI/GPAI) sowie die Governance-Regelungen (Zeitschriften – ZInsO 2025, 1396Strategie für den Einsatz von Künstlicher Intelligenz in der Justiz (Auszug1); Zeitschriften – Pfeffer, Polizei 2026, 221Nach der Regulierung ist vor der Regulierung).
- Seit dem 2. August 2026 gelten die Transparenzpflichten nach Art. 50 KI-Verordnung. Vor allem Deepfakes müssen als KI generiert oder modifiziert “gelabelt” werden.
- Ende 2027 wir dann der allgemeine Geltungsbeginn für den Hauptteil der Verordnung erreicht – einschließlich der Pflichten für den Großteil der Hochrisiko-KI-Systeme nach Anhang III zum AI Act.
- 2028 folgen dann die Verpflichtungen für Hochrisiko-KI-Systeme, die in regulierte Produkte eingebettet sind (Art. 6 Abs. 1 KI-VO i.V.m. Anhang I).
Durch die KI-Verordnung wird Künstliche Intelligenz nach ihrem Risikopotenzial eingeteilt:
- KI mit unakzeptabel hohem Risiko (führt zur Bedrohung von Personen, der Einsatz ist verboten),
- KI mit hohem Risiko (Einsatz wird mit strengen Regularien durch den AI Act geregelt) und
- KI mit geringem Risiko (aus dem eine Transparenz- und Informationspflicht folgt).
Daneben gibt es Sonderregeln für KI-Modelle mit allgemeinem Verwendungszweck, also z. B. die Modelle hinter ChatGPT.
Der AI Act reguliert den Einsatz von Künstlicher Intelligenz insbesondere durch die Pflicht zu Transparenz und Dokumentation. Anbieter müssen umfassende Risikoabwägungen durchführen und protokollieren.
Der AI Act bildet so die Grundlage für einen zukunftsweisenden Einsatz von Anwendungen Künstlicher Intelligenz, die die Demokratie, den Schutz der Menschenrechte und unser aller Handlungsfreiheit wahren, ohne aber – so die Hoffnung – Innovationen zu behindern.
Der AI Act ersetzt nicht die Ausarbeitung unternehmensinterner Richtlinien und Positionen zum Einsatz von Anwendungen künstlicher Intelligenz. Solche sind wichtig, um auch die weiteren Herausforderungen zu meistern: KI-Anwendungen schaffen Effizienz, geben Raum für Innovationen und können neue Geschäftsfelder erschließen. Ihr Einsatz bringt aber auch erhebliche Rechtsrisiken, so insbesondere beim Datenschutz und dem Schutz geistigen Eigentums. Mit KI erstellte Software etwa ist nur selten schutzfähig – ist sie Asset in einem Unternehmen, kann das zu einer Abwertung des Unternehmenswertes führen. Es ist daher elementar, den Einsatz und die Entwicklung von Anwendungen künstlicher Intelligenz im eigenen Unternehmen proaktiv zu gestalten.
Strategie zum Umgang mit Daten
Aus dem neuen Datenrecht, insbesondere dem AI Act und dem Data Act, folgen Handlungsbedarfe für Unternehmen, die individuell zu ermitteln sind und stark von der jeweiligen Daten- und Geschäftsstrategie abhängen. Sind Sie mit Ihrem Unternehmen beispielsweise bereit für die Nutzung von Datenräumen oder können Sie eventuell von der Weiternutzung der Daten öffentlicher Stellen profitieren? Setzen Sie KI ein oder entwickeln Sie Tools mit künstlicher Intelligenz? Haben Sie bereits eine umfangreiche Datenstrategie und Data Governance Rules implementiert?
Wir beraten und begleiten Sie bei
- der Implementierung des Data Acts: Identifikation vernetzter Produkte, betroffener Daten, Cloud-Verträge, entsprechender Vertragsgestaltung sowie bei der Erarbeitung der Informationen und Gestaltung der Produkte,
- der Dienstegestaltung im oder außerhalb des Scopes des Data Governance Acts und bezüglich der Zugangsansprüche zu Daten, gerade auch im Bereich der Forschung und unter Berücksichtigung der Datenräume wie dem Europäischen Gesundheitsdatenraum (EHDS),
- bei der Produktgestaltung, Transparenz- und Risikoabwägung und der Qualifikation der Produkte im neuen Regulierungssystem beim Thema Künstliche Intelligenz,
- bei der Ausarbeitung passender KI-Richtlinien für den Einsatz und die Entwicklung von KI-Tools in Ihrem Unternehmen,
- bei der Auswertung neuer Fördermöglichkeiten aus dem Sovereignity Package der EU und
- allen anderen rechtlichen Themen rund um das Thema Daten – vom Cloud-Anbieterwechsel über Daten in vernetzten Produkten und Services bis hin zur Prüfung von Datenerhebungsgesuchen öffentlicher Stellen.
Setzen Sie sich mit uns in Verbindung.
FAQ
Welche Gesetze gibt es zum Datenschutz?
In Deutschland werden Datenschutz und IT-Sicherheitsthemen vor allem durch die Datenschutzgrundverordnung (DSGVO), das Bundesdatenschutzgesetz und die IT-Sicherheitsgesetze geregelt.
Auf EU-Ebene sind in den letzten Jahren neue Regelungen zur Datenregulierung hinzugetreten, insbesondere der Data Act, der Data Governance Act und der AI Act. Diese regeln nicht den Datenschutz, sondern vielmehr die Datennutzung und den Umgang mit KI. Der Datenschutz muss parallel dazu gewahrt bleiben.
Was wird im Datenschutzgesetz geregelt?
Als Datenschutzgesetz wird meist die EU-Datenschutzgrundverordnung bezeichnet. Sie regelt, wann und wie die Verarbeitung personenbezogener Daten zulässig ist. Relevant ist sie immer dann, wenn in der EU personenbezogene Daten verarbeitet werden, auch, wenn das verarbeitende Unternehmen außerhalb der EU sitzt. Zentral ist das Verbot mit Erlaubnisvorbehalt: Wer personenbezogene Daten verarbeiten will, braucht eine Erlaubnis. Ohne Erlaubnis ist die Verarbeitung unzulässig.
Was gehört zum neuen Datenrecht?
Das neue Datenrecht der EU will die Datenwirtschaft in der EU beflügeln. Es sollen erhebliche Werte gehoben werden, Daten werden in den Mittelpunkt der neuen Wertschöpfung gerückt. Die wichtigsten Rechtsakte sind die EU-Verordnungen Data Act und Data Governance Act. Hinzu kommt der AI Act (KI-Verordnung), der seit August 2024 in Kraft ist und schrittweise gilt. Die weiteren Verordnungen, der Digital Services Act und der Digital Markets Act, betreffen ganz spezifische Online-Dienste und starke Player (vor allem GAFAM – Google, Apple, Meta, Amazon und Microsoft).
Wie stehen Datenschutz und Datenrecht zueinander?
Die neuen EU-Rechtsakte zum Datenrecht haben leider nicht geregelt, ob und wie unter ihnen personenbezogene Daten verarbeitet werden dürfen. Dazu regeln sie: Die EU-Datenschutzgrundverordnung „bleibt unberührt”. Dies bringt erhebliche Probleme für Unternehmen, da sie parallel sicherstellen müssen, dass die EU-Datenschutzgrundverordnung eingehalten wird. Es kann also sein, dass der Data Act einen Datenzugangsanspruch gibt, dieser aber wegen Verstoß gegen die EU-Datenschutzgrundverordnung nicht gewährt werden darf.
Was sind Datenräume?
Um den Datenaustausch und die gemeinsame Datennutzung zu fördern, schafft die EU neue Datenräume für verschiedene Sektoren. Sehr weit vorangeschritten ist der Europäische Gesundheitsdatenraum (European Health Data Space, EHDS). Die zugrundeliegende EU-Verordnung (EU) 2025/327 wurde am 11. Februar 2025 verabschiedet und ist am 5. März 2025 im Amtsblatt veröffentlicht worden (Durchführungsverordnung (EU) 2026/771 der Kommission vom 7. April 2026 zur Festlegung der erforderlichen Maßnahmen für die Einrichtung und den Betrieb des Ausschusses für den europäischen Gesundheitsdatenraum; Gültig ab: 28.04.2026). Der Europäische Gesundheitsdatenraum (EHDS) ist ein zentraler Baustein der europäischen Daten- und Digitalisierungsstrategie im Gesundheitswesen. Er soll einen sicheren, interoperablen und innovationsfreundlichen Rahmen für die Primär- und Sekundärnutzung von Gesundheitsdaten schaffen – etwa für Forschung, Entwicklung von KI-Anwendungen im Gesundheitsbereich, Qualitätssicherung und Versorgungsssteuerung. Der EHDS legt Regeln und Bedingungen fest, unter denen Gesundheitsdaten ausgetauscht und genutzt werden können. Es werden dezentrale Strukturen geschaffen, nicht etwa, wie der Name dies vermuten lässt, eine einzelne Cloud. Zentrales Element sind dabei die genauen Vorgaben, welche Daten von wem mit welchen Sicherheitsmaßnahmen und zu welchen Zwecken genutzt werden dürfen. Klare Regeln machen es einfacher, Daten auch tatsächlich auszutauschen.
Ihre Ansprechpartnerin: Dr. Kristina Schreiber
Dr. Kristina Schreiber ist Fachanwältin für Verwaltungsrecht und CIPP/E und Partnerin bei Loschelder Rechtsanwälte in Köln. Sie ist spezialisiert auf rechtliche Begleitung von Digitalisierungsprojekten und die Beratung und Vertretung in allen Fragen des Datenschutzes, der Datennutzung und der Cyber-Sicherheit. Sie publiziert regelmäßig in Fachzeitschriften zu diesen Themen, ist Lehrbeauftragte an der Universität Köln und an der FernUniversität Hagen sowie Referentin auf diversen Fachveranstaltungen.