1. Einleitung

Seit dem 12. September 2025 greift der Data Act der Europäischen Union (EU) und betrifft insbesondere Unternehmen der Windenergie-Branche. Vom intelligenten Sensor an der Windturbine über digitale Wartungssysteme bis hin zu vernetzten Windparks, ist das Internet der Dinge (IoT) längst bei den erneuerbaren Energien angekommen. Die Nutzung dieser Daten gewinnt durch den Einsatz künstlicher Intelligenz (KI) zunehmend an Attraktivität und wirtschaftlicher Bedeutung. 

2. Was regelt der Data Act?

Bislang verfügen häufig allein die Hersteller vernetzter Produkte oder Anbieter verbundener Dienste über die durch IoT-Geräte gesammelten Daten. Der Data Act soll für eine faire Wertschöpfungskette sorgen und regelt den gerechten Datenzugang sowie die faire Nutzung von Daten, die beim Einsatz von IoT entstehen. 

Profitieren sollen nicht nur Hersteller smarter Produkte bzw. verbundener Dienste, sondern auch die Nutzer – etwa Betreiber von Windenergieanlagen. Sie erhalten mehr Kontrolle darüber, wer ihre Daten einsehen und nutzen darf. 

3. Neue Möglichkeiten zur Datennutzung

Sensordaten einer Windturbine lagen bisher häufig exklusiv beim Hersteller. Der Data Act räumt dem Nutzer nun ein Zugangsrecht zu diesen Daten ein – einschließlich der Rohdaten. 

4. Kernbereiche des Data Acts

4.1 Datenzugang

Herzstück des Data Acts ist der Zugang zu Daten, die von vernetzten Produkten oder verbundenen Diensten erzeugt werden. 

Pflichten für Hersteller

Hersteller sind verpflichtet, den Datenzugang möglichst einfach zu gestalten. Dies soll etwa über eine Schnittstelle am Gerät oder ein Onlineportal geschehen. Das ist besonders relevant für Unternehmen, die solche Daten bislang ausschließlich für eigene Zwecke genutzt haben.

Selbst wenn bestimmte Daten bereits über ein Portal bereitgestellt werden, stellt sich mit dem Data Act die Frage nach dem Umfang: Eine Windenergieanlage kann beispielsweise mehrere zehntausend Fehlermeldungen, Warnungen und Systemhinweise erzeugen. 

Umfang der bereitzustellenden Daten 

Der Umfang ergibt sich aus Art. 2 Abs. 17 Data Act:

„Bereitzustellen sind solche Daten, die der sogenannte Dateninhaber ohne unverhältnismäßigen Aufwand rechtmäßig vom vernetzten Produkt oder verbundenen Dienst erhält oder erhalten kann.“

Das Zugangsrecht umfasst bei der Nutzung erstellte Daten, sowohl personenbezogene als auch nicht personenbezogene Daten. 

Datenschutzrechtliche Vorgaben

Beim Zugang zu personenbezogenen Daten gelten vorrangig die Regelungen der Datenschutz-Grundverordnung (DSGVO). Der Nutzer benötigt eine Rechtsgrundlage nach Art. 6 DSGVO. Personenbezogene Daten Dritter können aus Sicht eines Unternehmens auch die eigenen Beschäftigten betreffen. Eine Lösung kann die Anonymisierung bieten, da anonymisierte Daten vom Anwendungsbereich der DSGVO ausgenommen sind. 

Praxisbeispiel: Betriebsführer und Vergleichsanlagen

Verwaltet ein Betriebsführer Windenergieanlagen verschiedener Betreiber, darf er nicht ohne Weiteres alle Anlagendaten nutzen – etwa für sogenannte Ausfallberechnungen gegenüber Versicherungen. 

Bei einem Anlagenausfall zahlt die Versicherung den entgangenen Ertrag auf Basis der theoretisch möglichen Stromproduktion. Diese wird anhand von Vergleichsanlagen berechnet – also Anlagen desselben Herstellers und Typs in vergleichbarer Umgebung (z. B. im rheinhessischen Bergland). Gehören diese Anlagen unterschiedlichen Betreibern, greift der Data Act. Eine Nutzung dieser Daten erfordert dann beispielsweise eine vertragliche Grundlage. 

4.2 Notstandsregelung 

Behörden können Unternehmen unter bestimmten außergewöhnlichen Voraussetzungen, etwa bei Naturkatastrophen oder akuter Energieknappheit, verpflichten, bestimmte Daten herauszugeben. Voraussetzung ist, dass diese Daten dringend zur Bewältigung der Notlage benötigt werden und nicht anders beschaffbar sind. 

Bereitstellung und Ablehnungsfristen 

Die Daten sind grundsätzlich unverzüglich bereitzustellen. Um den Aufwand zu minimieren, sind technische, organisatorische und rechtliche Maßnahmen zu berücksichtigen. „Bereitstellen“ bedeutet nicht zwingend Übermittlung – eine sogenannte In-situ-Bereitstellung direkt am vernetzten Produkt genügt. 

Unternehmen können ein behördliches Datenverlangen ablehnen, müssen dies jedoch unverzüglich, spätestens innerhalb von fünf Arbeitstagen nach Eingang tun. In allen anderen Fällen außergewöhnlicher Notwendigkeit beträgt die Ablehnungsfrist 30 Arbeitstage. 

4.3 Cloud Switching

Um sogenannte „Lock-in-Effekte“ zu verhindern – also die Bindung an einen Anbieter, weil ein Wechsel zu kompliziert, zu teuer oder mit Datenverlust verbunden wäre -, verpflichtet der Data Act, Anbieter von Datenverarbeitungsdiensten, technische und vertragliche Hürden abzubauen. 

Der „Umzug“ eigener Daten von einem Cloud-Service zu einem anderen soll einfacher und unkomplizierter werden. Anbieter müssen den Wechsel innerhalb von maximal 30 Tagen ermöglichen. Vertragsklauseln, die einen Wechsel behindern, sind unwirksam. 

Der Data Act stärkt damit die Datensouveränität und ermöglicht die nahtlose Fortführung der eigenen Datenhistorie bei einem neuen Anbieter. 

Beispiel: Betreiber cloudbasierter Asset-Management- und SCADA-Software sollen künftig leichter den Anbieter wechseln können.

5. Schutz von Geschäftsgeheimnissen

Ein zentrales Anliegen des Data Acts ist der Schutz von Geschäftsgeheimnissen und vertraulichen Informationen, insbesondere wenn Unternehmen verpflichtet werden, solche Daten an Nutzer oder Dritte weiterzugeben. Der Data Act erkennt dieses Schutzbedürfnis ausdrücklich an. 

6. Keine Pflicht ohne Schutzmaßnahmen

Unternehmen, die Daten bereitstellen müssen, sind nicht verpflichtet, Geschäftsgeheimnisse oder vertrauliche Informationen preiszugeben, sofern keine angemessenen Schutzmaßnahmen getroffen werden (Art. 4 Abs. 6, Art. 8 Abs. 6). 

Das bedeutet: 

• Der Datenempfänger muss geeignete Maßnahmen zum Schutz der erhaltenen Geschäftsgeheimnisse treffen. 

• Es dürfen keine Daten weitergegeben werden, wenn dies mit einem unvertretbaren Risiko für die Preisgabe von Geschäftsgeheimnissen verbunden wäre. 

7. Vertragliche und technische Schutzmaßnahmen

Die Parteien können vertraglich festlegen, wie Geschäftsgeheimnisse geschützt werden – etwa über: 

• Vertraulichkeitsvereinbarungen (NDAs) 

• Beschränkungen der Nutzung und Weitergabe 

• Technische Zugriffsbeschränkungen 

Der Data Act sieht vor, dass Empfänger von Daten, die Geschäftsgeheimnisse enthalten, diese nicht für eigene Zwecke außerhalb der vereinbarten Nutzung verwenden dürfen. 

Wenn trotz aller Maßnahmen ein unvertretbares Risiko für die Offenlegung von Geschäftsgeheimnissen besteht, können Unternehmen die Herausgabe verweigern.

8. Beispiel für die Windenergie-Branche

Befürchtet ein Windturbinen-Hersteller, dass durch die Herausgabe von Sensordaten an Betreiber oder Dritte sensible Informationen – etwa zu Algorithmen, Betriebsstrategien oder Wartungsprozessen – offengelegt werden, kann er Schutzmaßnahmen verlangen. Erst wenn diese vereinbart und umgesetzt sind, muss er die Daten bereitstellen. Kommt es dennoch zu einem unvertretbaren Risiko, kann die Herausgabe abgelehnt werden.

9. Fazit

Der Data Act stellt einen Paradigmenwechsel dar. Er versucht, die enorme wirtschaftliche Kraft, die in den Daten des Internets der Dinge steckt, für alle nutzbar zu machen, während er gleichzeitig die Grundrechte des Datenschutzes wahren will. Dieses Spannungsfeld zwischen Öffnung und Schutz wird Hersteller und Anwender in den kommenden Jahren intensiv beschäftigen. 

Für Betreiber und Betriebsführer von Windenergieanlagen ist dies ein echter Gewinn: Kein Betteln mehr um Daten. Der Data Act liefert den rechtlichen Hebel zur Daten-Demokratisierung. 

Die entscheidende Frage für Unternehmen wird nun sein: Wie werden die Kompetenzen und die technische Infrastruktur aufgebaut, um aus dieser neuen Datenflut nicht nur Compliance-Pflichten, sondern echte Wettbewerbsvorteile zu generieren?

AUTOREN