Der Data Act soll zum zentralen Datengesetz der EU werden und bekommt dafür ein Update von der Kommission. Wir erklären, was die geplanten Änderungen für Unternehmen bedeuten und ob dadurch wirklich mehr Rechtssicherheit entsteht.
Hinweis: Die Änderungsentwurf zum Data Act muss noch das Gesetzgebungsverfahren der Europäischen Union durchlaufen und kann im Zuge dessen deutlich verändert werden.
Reformen durch Omnibus IV
Die EU plant einen tiefgreifenden Umbau ihrer Datenregulierung. Der am 19. November 2025 veröffentlichte Entwurf des sogenannten digitalen Omnibuspakets (Omnibus IV) der europäischen Kommission verfolgt das Ziel, zahlreiche bestehende Regelungen, vom Data Act über die KI-Verordnung bis zur DSGVO, in einem einzigen Schritt anzupassen und besser aufeinander abzustimmen.
Die Anpassungen sollen keine neuen Pflichten darstellen, sondern vielmehr bestehende Regeln einfacher und damit praxistauglicher gestalten.
Die geplanten Änderungen am Data Act
Der Entwurf des digitalen Omnibuspakets zielt darauf ab, den Data Act so weiterzuentwickeln, dass er einen klaren und verlässlichen Rahmen für einen verbesserten Datenzugang schafft. Dieser erweiterte Zugang soll wiederum Wettbewerb fördern und Innovationen ermöglichen.
In diesem Zusammenhang sind folgende Anpassungen des Data Act vorgesehen:
Data Act wird zur Hauptverordnung für das europäische Datenrecht
Der Data Act wird zum zentralen Datengesetz der EU. Dafür integriert die EU-Kommission mehrere bestehende Rechtsakte in den Data Act:
- die Open-Data-Richtlinie (2019);
- den Data Governance Act – DGA (2022);
- die Verordnung über den freien Verkehr nicht-personenbezogener Daten – FFDR (2018).
Das Ergebnis ist ein einheitlicher Rechtsrahmen für Datennutzung, Datenzugang und Interoperabilität, welcher zu mehr Rechtssicherheit beitragen soll.
Wichtige Präzisierungen der Begriffe im Data Act
Die Vereinheitlichung betrifft auch zentrale Begriffe innerhalb des Data Acts selbst.
- So wird etwa der Begriff des „Dateninhabers“ neu gefasst und inhaltlich geschärft. Während zuvor eine Person als Dateninhaber galt, die sowohl den Zugang zu Daten als auch deren Verfügbarkeit sicherstellt, definiert der Data Act nun den Dateninhaber als eine Person, die den Datenzugang und/oder die Datenverfügbarkeit gewährleistet. Das erweitert den Kreis der Betroffenen erheblich.
- Darüber hinaus enthält der Data Act erstmals eine ausdrückliche Definition des Begriffs „Anonymisierung“.
- Ergänzend übernimmt der Data Act wesentliche Begriffsbestimmungen aus der DSGVO, unter anderem zu „Einwilligung“ und „Pseudonymisierung“, indem er hierzu unmittelbar auf die DSGVO verweist.
Stärkung des Schutzes von Geschäftsgeheimnissen
Unternehmen erhalten weitere Schutzmechanismen, wenn sie den Zugang zu Geschäftsgeheimnissen verweigern möchten. Aktuell dürfen sie dies tun, wenn ein schwerer wirtschaftlicher Schaden drohen würde oder der Datenempfänger ein Ergreifen von angemessenen technischen und organisatorischen Maßnahmen verweigern würde.
Nach dem Omnibus-IV-Entwurf wäre eine Verweigerung zusätzlich möglich, sollte ein hohes Risiko bestehen, dass Daten an Stellen in Drittländern ohne angemessenen Schutz oder an Unternehmen unter der Kontrolle solcher Drittstaaten gelangen könnten.
Öffentlicher Notstand wird einzige Rechtsgrundlage für staatlichen Datenzugriff
Bereits bisher durften Behörden von Dateninhabern nur bei einer „außergewöhnlichen Notwendigkeit“ eine Herausgabe von Daten verlangen, ein Ansatz, der nun im Entwurf des digitalen Omnibuspakets weiter eingegrenzt wird.
Dabei sollen die bisherigen Artikel 14 und 15 des Data Acts vollständig entfallen. Stattdessen führt der Omnibus-IV-Entwurf den neuen Artikel 15a Data Act ein. Danach ist ein staatlicher Datenzugriff nur noch zulässig zur Bewältigung oder Abmilderung eines öffentlichen Notstands (public emergency).
Gleichzeitig wird eine klare Priorisierung eingeführt. Nicht-personenbezogene Daten seien vorrangig herauszugeben. Erst wenn dies nicht zielführend sei, dürften Behörden personenbezogene Daten verlangen, und dies möglichst in pseudonymisierter Form. Dieser Priorisierungsgedanke war bereits in den Erwägungsgründen zu finden und wurde nun in das Gesetz aufgenommen.
Trotz dieser Priorisierung bleibt der Spannungsbogen zwischen Datenzugangspflichten und Datenschutz bestehen. Die Herausgabe pseudonymisierter oder sogar personenbezogener Daten im Krisenfall wirft weiterhin Fragen zur Vereinbarkeit mit der DSGVO, zu Zweckbindung, Datenminimierung und zu den Risiken von Re-Identifizierungen auf. Für Unternehmen bleibt somit unklar, wie sie im Ernstfall datenschutzkonform agieren sollen.
Eine weitere Änderung ist, dass Metadaten nun auch ausdrücklich mitangefordert werden dürfen.
Von diesen Pflichten der Art. 14 ff. Data Act bleiben Kleinst- und Kleinunternehmen auch unter dem Entwurf des digitalen Omnibuspakets unberührt.
Ausnahmen von Cloud-Wechselpflichten
Der Data Act enthält umfangreiche Pflichten für Cloud-Anbieter, insbesondere die Wechselpflichten nach Art. 23 ff. Data Act. Diese werden durch den Omnibus-Entwurf etwas entschärft. Neu gelten folgende zwei Ausnahmen:
- für bestehende Verträge, die vor oder am 12. September 2025 geschlossen wurden und individuell angepasste Dienste betreffen,
- für KMUs und SMCs mit bestehenden Verträgen, die vor oder am 12. September 2025 geschlossen wurden.
Diese Verträge dürfen bis zum regulären Laufzeitende unverändert fortgeführt werden, ein wichtiges Signal an kleinere Anbieter, die ansonsten etwaige technische Anpassungen hätten vornehmen müssen.
Data Sandboxes und neue Unterstützungsstrukturen
Neben den Änderungen innerhalb des Data Acts, verfolgt die EU zudem eine sogenannte Data Union Strategy. Nach dieser dürfen Mitgliedstaaten nun offiziell sogenannte Data Sandboxes einrichten, d.h. kontrollierte Testumgebungen, in denen Unternehmen neue Datenaustauschmodelle, Schnittstellen oder Interoperabilitätslösungen unter behördlicher Aufsicht ausprobieren können. Ziel ist es, Innovation und neue Geschäftsmodelle zu fördern, ohne direkt in den Echtbetrieb eingreifen zu müssen.
Zudem hat die europäische Kommission angekündigt, einen Data Act Legal Helpdesk einzurichten, in dem Fragen zu Datenzugangsrechten, Pflichten und Vertragsgestaltungen beantwortet werden. Adressat sind hier vor allem KMUs.
Daneben gibt es bereits jetzt eine offizielle FAQ der europäischen Kommission zum Data Act.
Fazit
Der digitale Omnibus-Entwurf soll einen weiteren Schritt hin zu einer harmonisierten und praxistauglichen europäischen Datenregulierung darstellen. Durch die Aufwertung des Data Acts zur zentralen Datenverordnung, präzisere Begriffsbestimmungen sowie Entlastungen im Bereich des Datenzugangs und der Interoperabilität entsteht durchaus ein praxisnäherer Rechtsrahmen.
Gleichzeitig bleiben jedoch bestehende Herausforderungen, insbesondere beim Umgang mit Datenschutzanforderungen im Kontext von Datenzugangspflichten, weiterhin bestehen.
Vieles wird sich daher, trotz der vorgesehenen Anpassungen durch den digitalen Omnibus-Entwurf, in der praktischen Anwendung vorrausichtlich nur begrenzt verändern.