Ab morgen wird der Data Act zum Datenschutztest für vernetzte Produkte

von
Kurz erklärt: Der Data Act ist eine EU-Verordnung für den Zugang zu und die Nutzung von Daten aus vernetzten Produkten und digitalen Diensten. Sobald dabei personenbezogene Daten im Spiel sind, läuft das Thema nicht nur über Datenökonomie und Wettbewerb, sondern parallel auch über Datenschutzrecht.

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat am 29. Mai 2026 einen neuen deutschen Datenschutzfall gesetzt, der auf den ersten Blick eher nach Zuständigkeitsnotiz klingt und auf den zweiten Blick ein operatives Warnsignal für Hersteller, Plattformen und öffentliche Stellen ist. Mit dem Inkrafttreten des Datenverordnungs-Anwendungs-und-Durchsetzungs-Gesetzes am 30. Mai erhält die BfDI eine neue gesetzliche Rolle: Sie überwacht die Anwendung des Data Act, soweit dabei personenbezogene Daten betroffen sind. Genau diese Klammer ist der Grund, warum der heutige Schritt für DSGVOSCAN berichtenswert ist. Der Data Act soll neue Datenzugänge ermöglichen, der Datenschutz markiert aber die Grenze, an der aus Datennutzung ein Haftungs- und Vertrauensproblem wird.

Die heutige BfDI-Mitteilung ist als Primärquelle klar. Sie beschreibt nicht nur den formalen Zuständigkeitswechsel, sondern auch den praktischen Kern: Unternehmen, die vernetzte Produkte herstellen oder verbundene Dienste anbieten, müssen Nutzerinnen und Nutzern Zugang zu den erzeugten Daten geben und auf Verlangen auch Dritte einbeziehen. Die BfDI betont zugleich, dass Datenschutz-Grundverordnung und Data Act dort parallel gelten, wo diese Daten personenbezogen sind. Ergänzend zeigt die Bundesnetzagentur in ihrem Informationsangebot zum Data Act die nationale Struktur mit der BNetzA als zentraler Behörde. Der Bundestag hatte im Gesetzgebungsverfahren bereits hervorgehoben, dass genau die Zusammenarbeit zwischen BNetzA und BfDI organisiert werden muss. Damit ist der heutige Fall keine lose Ankündigung, sondern der sichtbare Startpunkt einer neuen deutschen Aufsichtslinie.

Der eigentliche Konflikt beginnt dort, wo Datenrechte und Datenschutz gleichzeitig greifen

Genau darin liegt der Nachrichtenwert. Der Data Act wird in der öffentlichen Debatte oft als Innovations- und Wettbewerbsverordnung gelesen: Daten aus vernetzten Maschinen, Fahrzeugen, Sensoren, Haushaltsgeräten oder Plattformdiensten sollen leichter nutzbar werden. Für Unternehmen klingt das zunächst nach mehr Zugriff, mehr Austausch und mehr datengetriebenen Geschäftsmodellen. Die heutige BfDI-Mitteilung erinnert aber daran, dass diese Rechnung nur die halbe Wahrheit ist. Sobald Nutzungsdaten, Diagnosedaten, Standortdaten, Gerätekennungen oder Verhaltensmuster auf Personen zurückgeführt werden können, kommt die DSGVO nicht nachgelagert hinzu, sondern bleibt mitten im Modell.

Das macht den Fall besonders relevant für Unternehmen, die ihre Data-Act-Pflichten bisher vor allem als technische Schnittstellenfrage verstanden haben. Der neue deutsche Aufsichtsrahmen bedeutet praktisch, dass der Datenzugang nicht nur schnell und standardisiert funktionieren muss, sondern auch rechtlich sauber begrenzt, dokumentiert und erklärbar sein muss. Wer Daten an Nutzer oder benannte Dritte herausgeben soll, braucht belastbare Antworten auf ziemlich konkrete Fragen: Welche Daten sind tatsächlich personenbezogen? Auf welcher Grundlage dürfen sie weitergegeben werden? Welche Daten von Beschäftigten, Mitnutzern oder Dritten stecken mit in den Datensätzen? Was passiert, wenn aus Telemetrie, Logdaten oder Serviceinformationen Rückschlüsse auf Verhalten, Aufenthaltsorte oder Arbeitsabläufe einzelner Personen möglich sind?

Die BfDI spricht genau deshalb von Rechtsunsicherheit beim Zusammenspiel von Data Act und DSGVO. Das ist keine akademische Formel. In der Praxis heißt es, dass neue Datenrechte schnell mit alten Governance-Schwächen kollidieren können. Ein Unternehmen mag technisch in der Lage sein, Rohdaten aus einem Gerät herauszugeben. Das beantwortet aber noch nicht, ob diese Rohdaten intern ausreichend klassifiziert wurden, ob personenbezogene Elemente sauber erkannt werden, ob Freigaben dokumentiert sind und ob Betroffene verstehen können, was mit ihren Daten geschieht. Aus einem Marktöffnungsprojekt wird dann plötzlich ein Datenschutztest unter Live-Bedingungen.

Für Hersteller und öffentliche Stellen beginnt jetzt die unangenehme Umsetzungsphase

Besonders brisant ist, dass der heutige Fall nicht nur klassische Privatwirtschaft betrifft. Die BfDI nennt ausdrücklich auch öffentliche Stellen des Bundes. Der Aufsichtsstart trifft also nicht bloß Plattformen oder industrielle Anbieter, sondern potenziell auch föderale Verwaltungs- und Infrastrukturbereiche, in denen vernetzte Systeme, Sensorik und digitale Dienste eingesetzt werden. Wer dort auf Datenzugang, Datenteilung oder neue Serviceketten setzt, kann sich nicht darauf verlassen, dass der Data Act eine Art Freischaltung für jede gewünschte Datennutzung liefert.

Auch für die Wirtschaft ist das Timing unbequem. Der Data Act gilt auf EU-Ebene bereits seit dem 12. September 2025. Mit dem nationalen Durchführungsgerüst wird aus einer eher abstrakten europäischen Norm jetzt ein konkreter deutscher Aufsichtspfad. Das erhöht nicht automatisch die Zahl der Sanktionen am ersten Tag, aber es verschiebt die Risikolage. Ab jetzt ist klarer, wer bei Konflikten hinschaut und wessen Auslegung für die Praxis Gewicht bekommt. Genau deshalb ist der heutige Schritt für Verantwortliche wichtiger als manche lautere Bußgeldmeldung. Er verändert den Erwartungsrahmen, bevor der erste große Präzedenzfall öffentlich eskaliert.

Praktisch sollten Unternehmen und Behörden den heutigen Anlass nicht als Pressetermin abhaken, sondern als Vorwarnung lesen. Wer Data-Act-Pflichten im Haus hat, sollte jetzt vor allem drei Dinge prüfen:

  • Sind die Datenflüsse aus vernetzten Produkten und Diensten so kartiert, dass personenbezogene Bestandteile wirklich erkannt und getrennt bewertet werden können?
  • Gibt es belastbare Prozesse für Auskunft, Datenbereitstellung und Drittbenennung, ohne dabei Rechte unbeteiligter Personen mitzuziehen?
  • Sind Verträge, Hinweise und technische Schnittstellen darauf vorbereitet, dass Data-Act-Zugang und DSGVO-Pflichten gleichzeitig beantwortet werden müssen?

Der heutige BfDI-Fall ist damit kein Randthema der Behördenorganisation. Er macht sichtbar, dass die nächste Welle datengetriebener Geschäftsmodelle in Deutschland nicht nur an der Frage hängt, wer Zugriff auf Maschinendaten bekommt, sondern auch daran, wer die Datenschutzfolgen im Zugriffsmoment sauber beherrscht. Ab morgen wird der Data Act für vernetzte Produkte deshalb nicht nur ein Innovationsprojekt, sondern ein echter Praxistest für Datenklassifizierung, Transparenz und Governance.

Bildquelle: Pexels

Quellen: BfDI, „Neue Zuständigkeit: BfDI übernimmt Datenschutzaufsicht nach dem Data Act“; Bundesnetzagentur, „Informationen und Hintergründe“ zum Data Act; Deutscher Bundestag, „Umsetzung von EU-Vorgaben zum Datenzugang und zur Datennutzung“.

Eintrag teilen
E-Mail Xing LinkedIn

Abmahnschutz automatisiert

Ist Ihre Website
DSGVO-sicher?

Jetzt registrieren

Weitere News rund um DSGVO und Datenschutz

Alle Blog-Einträge ansehen