Der von der EU-Kommission vorgeschlagene Data Act ist ein begrüßenswerter Schritt, weil er, wie Margrethe Vestager es formulierte, Klarheit darüber schafft, wer zu welchen Bedingungen auf Daten zugreifen und sie weitergeben kann. Unklarheiten in der bisherigen Rechtslage lassen viele wertschöpfende Verwendungen von Daten nicht zu.
Die EU will mit dem Data Act Datenaustausch, Datenkonsolidierung und Data Governance regulieren, damit Unternehmen wie Behörden Daten breiter nutzen können.
Die Folge: Unternehmen können den Wert ihrer Daten nicht vollständig erschließen und verlieren Umsätze. Die EU-Kommission schätzt, dass durch die im Data Act vorgesehenen Regelungen bis zum Jahr 2028 zusätzliche Einnahmen in Höhe von 270 Milliarden Euro erwirtschaftet werden können. Was bedeutet der Data Act für die Anbieter von Lösungen für das Erfassen, Lagern, Verarbeiten, Analysieren, Übermitteln und Präsentieren von Daten?
Die bisherige Rechtslage
2018 trat die Datenschutzgrundverordnung (DSGVO) in Kraft, die das Datenschutzrecht für die EU-Mitgliedsstaaten vereinheitlichte. Bei der nationalen Umsetzung dürfen diese Konkretisierungen oder Ergänzungen vornehmen. Die EWR-Staaten übernehmen die Vorgaben der EU in der Regel. Grenzüberschreitende Geschäfte gehören in einer globalisierten Wirtschaft für die meisten Unternehmen längst zum Alltag.
Aber auch der Data Act stellt jedoch nur den Datenaustausch innerhalb der EU auf eine transparente und verlässliche Grundlage. Bei Geschäften außerhalb der EU sind weiterhin wichtige Fragen der Datenlokalisierung und -souveränität ungeklärt. Unterhalten Unternehmen Geschäftsbeziehungen zu Drittländern außerhalb des EU/EWR-Raums und transferieren sie Daten dorthin, wird es komplizierter und aufwändiger: Die DSGVO schreibt dann zusätzliche Maßnahmen zur Sicherstellung der Datensicherheit und des Schutzes der Persönlichkeitsrechte vor.
Internationaler Datenschutz ist ein komplexes Thema, denn in nahezu allen Ländern gelten umfangreiche Vorgaben zur Behandlung personenbezogener Daten.
Datensouveränität als Schutz vor Verstößen
Um das zu gewährleisten, müssen Unternehmen jederzeit kontrollieren können, wann sensible Daten Landesgrenzen überschreiten und im Besonderen den EU/EWR-Raum verlassen. Aus diesem Grund ist es wichtig, die Kontrolle der technischen Infrastruktur von der Kontrolle der Daten zu trennen. Diese Trennung der Kontrollen schützt vor unkontrollierten Datenübertragungen außerhalb der Region. Datenkontrollmechanismen müssen in Datenbanklösungen eingebaut werden, wenn sie wirksam sein sollen – eine „Nachrüstung“ ist unsicher und teuer. Besonders bei der Nutzung von Cloud-Diensten tragen Unternehmen Verantwortung für die Gewährleistung des Datenschutzes.
Laut dem von Bitkom Research und KPMG veröffentlichen Cloud-Monitor 2021 nutzen acht von zehn deutschen Unternehmen Cloud-Rechenleistung. Rechtliche Unsicherheiten erweisen sich dabei gerade für Public-Cloud-Lösungen als Wachstumsbremse: 75 Prozent der Unternehmen, die darauf noch verzichten, gaben in der Untersuchung die Sorge vor einem unberechtigten Zugriff auf sensible Unternehmensdaten als Grund dafür an.
Das Datengesetz zielt auch darauf ab, „eine nahtlose Multi-Vendor-Cloud-Umgebung zu fördern“. Die Kommission strebt an, harmonisierte, normierte Standards für die Interoperabilität von Cloud-Diensten auszuarbeiten. An dieser Anforderung arbeiten anspruchsvollere Anbieter bereits seit längerem. Das Problem dabei ist die so genannte Datenschwerkraft, die die Abhängigkeit des Nutzers vom Anbieter verstärkt. Cloud-Dienstleister sollen Nutzern künftig bei einem Umzug zu einem anderen Anbieter „funktionale Gleichwertigkeit“ bieten. Anbieter müssen deshalb über offene Standards oder APIs Kompatibilität schaffen.
Der Data Act soll auch den Datenaustausch zwischen Unternehmen, Unternehmen und Endnutzern sowie Unternehmen und der öffentlichen Hand regeln. Hier wird es vor allem darauf ankommen, den existierenden Wildwuchs an Datenformaten und Schnittstellen zu konsolidieren. FHIR ist ein Beispiel für einen gemeinsamen Standard im Gesundheitswesen, der angenommen wird, aber letztlich erfordert eine solche Konsolidierung auch die Standardisierung von Daten.
Wenn neue Abfragen bestehender Daten dazu führen, dass kundenspezifische Lösungen mit angepassten Schnittstellen entwickelt werden müssen, wirkt diese Komplexität als Innovationsbremse. Um am Markt zu bestehen, werden Anbieter von Datenplattformen dafür sorgen müssen, dass ihre Lösungen agil genug sind, um Anwendungsfälle mit einer einzigen Schnittstelle zu unterstützen, auch solche, die zum Zeitpunkt der Entwicklung und Einführung des Systems nicht in Betracht gezogen wurden oder gar nicht existierten.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Es bleibt viel zu tun!
Den Datenaustausch fördern soll auch der Data Governance Act (DGA), der ebenfalls Bestandteil der europäischen Datenstrategie ist und bereits vom Ausschuss für Industrie, Forschung und Energie des Europäischen Parlaments angenommen wurde. Er soll unter anderem das Vertrauen in Datenvermittlungsdienste erhöhen und dadurch den so genannten „Datenaltruismus“ verbessern, also die freiwillige Verfügbarmachung von beispielsweise Gesundheits- oder Umweltdaten für das Gemeinwohl, die bislang im Rahmen der Open-Data-Richtlinie nicht frei verfügbar sind.
Solche „Datenspenden“ erfordern eine vertrauensvolle Einwilligung der Betroffenen, wobei das Vertrauen durch die zweckfremde Nutzung von Daten durch Behörden in jüngster Zeit gelitten hat. So durften etwa Daten aus der Luca-App zur Kontakterfassung laut § 28a Abs. 4 IfSG zu keinem anderen Zweck als der Nachverfolgung von Infektionsketten abgerufen werden. Das Gesundheitsamt gab sie dennoch zum Zweck der Zeugensuche an die Staatsanwaltschaft Mainz heraus – ein Vorgang, auf den die Anbieter, die den Nutzern „Datenhoheit“ versprochen hatten, letztlich keinen Einfluss hatten, der aber trotzdem den Ruf ihres Produktes beschädigte, obwohl es dafür keine Rechtsgrundlage gab. Der Data Act schreibt bei Anfrage einer öffentlichen Stelle zur Herausgabe von Daten die Angabe der Rechtsgrundlage für das Herausgabeverlangen zwingend vor.
Worauf müssen Anbieter sich jetzt einstellen?
Mit ihrer Datenstrategie will die EU die Rechte und Pflichten von Anbietern und Dateninhabern genau definieren, die Nutzung von Daten an klare Kriterien binden und dadurch mehr Transparenz, Vertrauen und Rechtssicherheit schaffen, damit bislang unerschlossenes Daten-Wertschöpfungspotenzial gehoben werden kann. Data Act und Data Governance Act können die Datenökonomie tatsächlich langfristig transformieren.
Dominic Wellington, MongoDB.
(Bild: MongoDB)
Die angedachten Normierungen, Konsolidierungen, Standardisierungen und Vorgaben werden Produkthersteller und Lösungsanbieter, wenn sie in den vorgeschlagenen Fassungen beschlossen werden, vor die Aufgabe stellen, höheren Kompatibilitäts- und Datenhoheitsansprüchen gerecht zu werden.
* Der Autor Dominic Wellington ist Director Market Intelligence bei MongoDB.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/56/a6/56a6cbd330270db46b739e8e67a3bae9/0127223376v1.jpeg "Nur ein DSGVO-konformes, transparentes und von Multi-Cloud-kompatibles europäisches Cloud-Angebot kann eine zukunftssichere und unabhängige IT sicherstellen. (Bild: T-Systems)")
:quality(80)/p7i.vogel.de/wcms/69/69/6969bbed340b546bba20ad5041f10f76/0128881179v1.jpeg "Google erlaubt in Zukunft das Ändern der E-Mail-Adresse in Gmail. (Bild: frei lizenziert Roman)")
:quality(80)/p7i.vogel.de/wcms/ae/0f/ae0f7cc26f7408cedf841ef7b8107413/0129170884v1.jpeg "Positive Bilanz: Die starke Nachfrage nach Cloud- und ERP-Lösungen trieb 2025 Umsatz und Betriebsergebnis von SAP. (Bild: SAP SE)")
:quality(80)/p7i.vogel.de/wcms/df/fa/dffa6a55b202c1f0a15862734e0cbeca/0128866846v1.jpeg "Die Digital Office Conference 2026 am 18. März in Berlin: Innovation, Verantwortung und digitale Souveränität im Fokus. (Bild: Bitkom)")
:quality(80)/p7i.vogel.de/wcms/eb/f0/ebf044683ec821124eacb5539aeb05cb/0128849647v2.jpeg "Mitmachen statt zuschauen:
Die Angst, bei KI den Anschluss zu verlieren, kann zu vorschnellen Entscheidungen führen. (Bild: © MotionIsland – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/59/09595f252a719fb31f52ddb63c59f358/0128960873v1.jpeg "KRITIS-Unternehmen bleibt wenig Spielraum bei ihrer Sicherheitsstrategie. Cloudbasierte Zugriffsarchitekturen bieten aber Lösungen für kritische Infrastrukturen, ohne Kompromisse bei der Sicherheit einzugehen. (Bild: © Brian Jackson - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/29/9a29efcf7c1b664aafddddd07f7b0ef6/0127640958v1.jpeg "Mit ProjectSend behalten Unternehmen die volle Kontrolle über Daten, Zugriffe und Integrität. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cf/b4/cfb4b211d1f189c2c25d976ed92153ca/0128857194v1.jpeg "So optimieren Sie Nextcloud: Zielgerichtete Anpassungen in PHP und Datenbank für schnellere Reaktionszeiten und verbesserte Systemleistung. (Bild: © Olivier Le Moal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/1b/b41b9c6e88bd8483a2db60f509d61131/0128435735v2.jpeg "KMU ringen vor allem mit klassischen DSGVO-Pflichten. Aufsichtsbehörden unterstützen mit Vorlagen, Sprechstunden und Checklisten, während Vereinfachungen beraten werden. (Bild: © sam richter - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6a/0b6a64cf873f39013857b15be8507446/0128985704v1.jpeg "Auch die Networking-Events auf dem CloudFest machen nachhaltig Eindruck. Doch es gibt weitere, gute Gründe für das Motto des CloudFest 2026 „The Sustainability of Everything“. (Bild: René Lamb Fotodesign GmbH
)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238c2fcfdd4a4e627c536e1fbce3796/0128962917v1.jpeg "Cloud-Risiko minimieren: Sicherheitslücken und Bedrohungen für industrielle Anlagen erfordern eine effektive Sicherheitsstrategie. (Bild: © Photocreo Bednarek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/0d/260d4ace38f8375d654c966e8b4ec1f2/0128861157v1.jpeg "Die Cloud-Branche steht 2026 vor entscheidenden Umbrüchen. Welche Trends sind für Cloud-Landschaften zu erwarten? (Bild: © FATEMA3.0 - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/41/a8/41a80b82de1ca5fcade17371f7235e55/0128874597v1.jpeg "Mit dem R-Cloud Marketplace reagiert Hycu auf den Trend zu stark fragmentierten SaaS- und Cloud-Landschaften mit oft uneinheitlicher Datensicherung. (Bild: HYCU)")
:quality(80)/p7i.vogel.de/wcms/da/e6/dae656cdda32066f36e03455976a60f4/0128697357v1.jpeg "Vorinstallierte Browser sind praktisch, aber nicht immer die beste Wahl. Worauf Nutzer bei Datenschutz, Features und KI achten sollten – und wie leicht ein Wechsel gelingt. (Bild: © Sentavio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/a3/93a3680c0c2d6e3482cc2db87242a999/0128746850v1.jpeg "Dwinitys Blockchain-basierte Cloud zielt auf die vollständige Kontrolle über persönliche Daten ab. Fragmentierte, verschlüsselte Daten werden auf vielen unabhängigen Knoten gespeichert, ohne dass Dwinity oder externe Akteure Zugriff darauf haben. (Bild: © CreativeIMGIdeas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fd/10/fd10e4216843219ced118a6c8f6f73f8/0128768369v1.jpeg "Deutsche zeigen ein konservativeres Speicherverhalten und greifen lieber auf externe Datenträger wie Festplatten zurück, statt die Cloud zu nutzen. (Bild: © Maksym Yemelyanov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/c0/68c0c0041b959669ea7bfdfbcc55d8b6/0129046254v1.jpeg "Vertrauen, Teamgeist und gemeinsame Verantwortung sind zentrale Elemente moderner Führung im Zeitalter der künstlichen Intelligenz. (Bild: © REDPIXEL - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/58/4d58e0cfcb0e2d402f3f59ba49180551/0128590287v1.jpeg "Die Softwareindustrie steht unter Druck, da KI zunehmend in der Lage ist, wiederholbare Aufgaben schneller und kostengünstiger zu erledigen. Diese Unsicherheit bietet jedoch auch Chancen für gezielte Akquisitionen und Innovationen. (Bild: © Maria Mikhaylichenko - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7b/43/7b4346180c4889f1b8e5f26af7125718/0128436273v2.jpeg "Das LG München sah eine Urheberrechtsverletzung, weil ChatGPT geschützte Liedtexte wörtlich ausgab. Was hat das Landgericht München in diesem Fall entschieden? (Bild: Canva / KI-generiert)")
:fill(fff,0)/p7i.vogel.de/companies/67/ab/67ab4b88b1eda/netfiles-logo.png "netfiles-logo (netfiles GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/dd/67dd21da675be/logo-horizontal-rgb.svg "logo-horizontal-rgb (Hyland)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/65/a4/65a4b6173962d/cloudgrmany-logo.png "cloudgrmany-logo (cloudgermany.de GmbH)"){kind=logo}
:quality(80)/images.vogel.de/vogelonline/bdb/1936500/1936523/original.jpg "Bislang ist häufig unklar, wer was mit den Daten tun dürfe, die etwa bei der Nutzung vernetzter Geräte und Maschinen entstehen; der Data Act soll Verbrauchern und Unternehmen mehr Kontrolle geben. (gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/46/c0/46c073903e7aa583549dcc3cb355af13/0124991875v1.jpeg "Europäische Cloud-Anbieter nutzen ihre strengen Datenschutzstandards als Verkaufsargument gegen US-Hyperscaler. (Bild: © Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ba/57/ba5739a0b5dc708927dd6cd1729e73d4/0124404906v1.jpeg "Souveräne Datenräume: Gaia-X und EuroStack als Gegenentwurf von Donald Trumps „Jetzt zocken wir Euch ab“-Polemik. (Bild: BonzEarthsnapper - stock.adobe.com)")