EU Data Act & EU AI Act – Was Unternehmen erwartet und wie sie sich vorbereiten können

Ab Herbst 2025 verändert sich das regulatorische Umfeld für Unternehmen in Europa grundlegend. Mit dem EU Data Act und dem EU AI Act treten zwei weitreichende Regelwerke in Kraft, die den Zugang zu Daten, deren Nutzung und den Einsatz von Künstlicher Intelligenz neu definieren. Diese Gesetze sind keine Nischenregelungen für einzelne Branchen – sie betreffen praktisch alle Unternehmen, vom Industrieproduzenten über den IT-Dienstleister bis hin zum Handels- oder Serviceunternehmen.

Der EU Data Act konzentriert sich darauf, Datenflüsse zu öffnen, fairen Wettbewerb zu ermöglichen und sicherzustellen, dass Nutzerdaten aus vernetzten Geräten nicht in abgeschotteten Silos verschwinden.

Der EU AI Act legt fest, wie KI-Systeme entwickelt, eingesetzt und überwacht werden müssen, damit sie sicher, transparent und im Einklang mit den Grundrechten agieren. Beide Gesetze greifen ineinander: Ohne Datenbasis kann KI nicht arbeiten, ohne Regeln für KI kann die Datennutzung Risiken bergen. Unternehmen müssen deshalb frühzeitig verstehen, welche Pflichten auf sie zukommen, wie sie sich vorbereiten und welche Chancen sie aus der neuen Regulierung ziehen können.

Zeitplan und Umsetzungsfristen im Überblick

Die Umsetzung der beiden Gesetze folgt unterschiedlichen Zeitlogiken. Für den EU Data Act gilt eine klare, einheitliche Frist: Nach Veröffentlichung im Amtsblatt am 22. Dezember 2023 und Inkrafttreten am 11. Januar 2024 haben Unternehmen eine Übergangszeit von 20 Monaten. Ab dem 12. September 2025 ist der Data Act in allen Mitgliedsstaaten direkt anwendbar – ohne weitere Übergangsphasen oder Staffelungen.

Der EU AI Act setzt dagegen auf einen gestaffelten Ansatz, um Unternehmen Zeit zur Anpassung zu geben:

• Februar 2025: Verbot „inakzeptabler“ KI-Systeme wie Social Scoring oder manipulativer KI.
• August 2025: Vorschriften für General Purpose AI-Modelle (GPAI).
• August 2026: Umsetzung der Pflichten für Hochrisiko-KI-Systeme.
• August 2027: Spezialregelungen für besonders kritische Systeme (Justiz/Inneres).

Ziele und Anwendungsbereich – Zwei Gesetze, ein Ökosystem

Der EU Data Act soll sicherstellen, dass Daten, die durch vernetzte Produkte und digitale Dienste entstehen, nicht ungenutzt in abgeschlossenen Systemen verbleiben. Nutzer:innen – ob Privatpersonen oder Unternehmen – müssen diese Daten künftig kostenfrei, leicht zugänglich und maschinenlesbar erhalten können. Zusätzlich erhalten sie das Recht, diese Daten an Dritte weiterzugeben.

Der EU AI Act setzt auf einen risikobasierten Regulierungsansatz: Je höher das Risiko einer KI-Anwendung für Sicherheit und Grundrechte, desto strenger die Anforderungen. Von minimalem Risiko bis hin zu Hochrisiko-Anwendungen reicht die Bandbreite – mit jeweils klar definierten Pflichten für die Anbieter- und Nutzerseite.

Konkrete Pflichten – Was Unternehmen jetzt aufbauen müssen

Die Anforderungen aus dem EU Data Act und dem EU AI Act sind nicht nur abstrakte Gesetzestexte, sie haben ganz konkrete Auswirkungen auf den Alltag in Unternehmen. Sie betreffen nicht allein die Rechtsabteilung oder das Compliance-Team, sondern erfordern ein Zusammenspiel vieler Bereiche: von IT, Produktentwicklung, Datenmanagement, Einkauf, Vertrieb, bis hin zum Kundenservice.

Besonders anspruchsvoll ist, dass viele dieser Pflichten technische, organisatorische und vertragliche Anpassungen gleichzeitig erfordern – oft in Bereichen, die bislang wenig Berührungspunkte miteinander hatten. Ein Unternehmen, das bisher lediglich darauf geachtet hat, interne Daten zu schützen, muss nun zusätzlich Strukturen schaffen, um diese Daten gezielt zu teilen, zu dokumentieren und im Rahmen klar definierter Standards verfügbar zu machen. Parallel dazu müssen KI-Systeme, die mit diesen Daten arbeiten, in eine rechtliche Risikokategorie eingeordnet und entsprechend überwacht werden.

Diese Kombination macht die Umsetzung komplex – aber auch strategisch bedeutsam, weil sie direkt auf die Wettbewerbsfähigkeit einzahlt. Die Anforderungen der beiden Gesetze greifen tief in IT-Strukturen, Prozesse und Vertragswerke ein.

Beim EU Data Act bedeutet dies u.a.:

• Bereitstellung sicherer, standardisierter Schnittstellen für den Datenzugang.
• Anpassung von B2B-Verträgen, um unfaire Klauseln zu vermeiden.
• Vorbereitung auf Datenanfragen von Behörden in Notfällen.
• Vereinfachung des Cloud-Anbieterwechsels.

Beim EU AI Act kommen hinzu:

• Risikoeinstufung aller eingesetzten KI-Systeme.
• Transparenzpflichten bei generativer KI.
• Dokumentations- und Monitoring-Prozesse für Hochrisiko-KI.
• Mitarbeiterschulungen für alle, die mit KI-Systemen arbeiten.

Chancen für Unternehmen der neuen Gesetzgebungen

Der EU Data Act kann Innovation beschleunigen, indem er Zugang zu bislang verschlossenen Datenquellen eröffnet. Unternehmen erhalten so die Möglichkeit, datengetriebene Geschäftsmodelle zu entwickeln, die vorher mangels Zugriffs auf relevante Informationen nicht realisierbar waren. Beispielsweise könnte ein Anbieter von Landmaschinen durch die Auswertung von Sensordaten aus Kundenfahrzeugen gezielte Wartungs- und Optimierungsservices anbieten.

Der EU AI Act stärkt das Vertrauen in KI-Anwendungen. Wer frühzeitig sichere, transparente und gesetzeskonforme Systeme einsetzt, verschafft sich gerade in regulierten Branchen einen klaren Wettbewerbsvorteil. Kunden, Partner und Investoren werden KI-Anbieter bevorzugen, die nicht nur technisch führend, sondern auch rechtskonform agieren.

Risiken und Stolperfallen bei der Umsetzung

So wichtig die neuen Gesetze für den fairen und sicheren Umgang mit Daten und KI sind, so schnell können Unternehmen in gefährliche Fallen tappen, wenn sie die Umsetzung unterschätzen. Die Erfahrung aus anderen Regulierungswellen – etwa der DSGVO – zeigt: Die eigentlichen Probleme entstehen nicht nur aus fehlendem Willen, sondern aus Zeitdruck, fehlender interner Abstimmung und mangelndem technischen Verständnis der Anforderungen.

Während der EU Data Act oft den Eindruck erweckt, es ginge „nur“ um den Zugang zu Daten, steckt der Teufel im Detail: Wer Daten freigibt, muss gleichzeitig sicherstellen, dass sie vor unbefugter Nutzung geschützt bleiben und rechtliche Vorgaben aus anderen Gesetzen – wie der DSGVO oder branchenspezifischen Sicherheitsstandards – eingehalten werden. Beim EU AI Act liegt die Gefahr vor allem in einer falschen Risikoeinstufung von KI-Systemen und in unzureichender Dokumentation. Beides kann nicht nur zu hohen Bußgeldern, sondern auch zu Reputationsverlust führen, wenn Kunden und Partner Vertrauen verlieren.

Die größte Stolperfalle ist deshalb, die Gesetze isoliert zu betrachten, anstatt eine integrierte, langfristige Compliance-Strategie zu entwickeln.

Beide Gesetze bergen auch Herausforderungen:

• Technische Komplexität: Der Aufbau sicherer Schnittstellen, standardisierter Datenexporte und KI-Dokumentationen ist aufwendig.
• Falsche Risikoeinstufung: Beim AI Act kann dies zu unnötigen Mehrkosten oder Compliance-Lücken führen.
• Rechtliche Zielkonflikte: Datenfreigabepflichten (Data Act) können mit Datenschutzvorgaben kollidieren.

Wer diese Risiken ignoriert oder zu spät angeht, riskiert nicht nur Bußgelder, sondern auch Reputationsschäden und operative Engpässe.

EU Data Act und AI Act: Schnittmengen und Konfliktfelder

Die Gesetze überschneiden sich in ihrer Wirkung: Der Data Act bestimmt, wer auf Daten zugreifen darf, der AI Act, wie diese genutzt werden dürfen. Das führt zu Szenarien, in denen Daten zwar freigegeben werden müssen, ihre Weiterverarbeitung durch KI jedoch strengen Auflagen unterliegt. Unternehmen sollten daher integrierte Compliance-Konzepte entwickeln, die beide Regelwerke gemeinsam abdecken.

Handlungsempfehlungen – Ihre Roadmap

Der beste Weg, die Anforderungen des EU Data Act und des EU AI Act zu erfüllen, ist nicht ein einzelnes Projekt kurz vor Fristablauf, sondern eine klare, gut abgestimmte Roadmap, die schrittweise umgesetzt wird. Damit lässt sich vermeiden, dass Maßnahmen übereilt, teuer und unkoordiniert durchgeführt werden.

Diese Roadmap sollte nicht nur die gesetzlich geforderten Mindeststandards abbilden, sondern auch darauf ausgerichtet sein, Wettbewerbsvorteile zu schaffen. Das bedeutet: Prozesse, Schnittstellen und Governance-Strukturen so zu gestalten, dass sie nicht nur die Compliance sicherstellen, sondern auch Innovation ermöglichen. Unternehmen, die diesen Ansatz verfolgen, profitieren doppelt – sie sind rechtlich abgesichert und gleichzeitig besser in der Lage, aus Daten und KI einen messbaren Mehrwert zu generieren.

Fazit

Der EU Data Act und der EU AI Act markieren den Beginn einer neuen Ära für daten- und KI-getriebene Geschäftsmodelle in Europa. Sie bringen zweifellos mehr Pflichten mit sich – von technischen Anpassungen über neue Governance-Strukturen bis hin zu intensiverer Dokumentation. Aber sie eröffnen auch neue Chancen, vor allem für Unternehmen, die schnell reagieren und die Regelwerke als strategischen Hebel begreifen.

Wer schon jetzt mit einer strukturierten Bestandsaufnahme beginnt, interne Verantwortlichkeiten definiert und technische wie organisatorische Lücken schließt, wird nicht nur rechtzeitig gesetzeskonform sein, sondern kann sich auch als Vorreiter im Markt positionieren. In einem Umfeld, in dem Vertrauen, Transparenz und verantwortungsvoller Umgang mit Daten immer wichtiger werden, kann das der entscheidende Wettbewerbsvorteil sein.

Unternehmen, die jetzt handeln, können die Umstellung strategisch nutzen, um ihre Marktposition in einem Umfeld zu stärken, in dem Vertrauen, Transparenz und verantwortungsvoller Umgang mit Daten immer mehr an Bedeutung gewinnen Wer hingegen abwartet, riskiert nicht nur hohe Strafen, sondern auch, vom Wettbewerb abgehängt zu werden.

Quellen & Verweise

EU Data Act – Volltext (EUR-Lex)
EU AI Act – Volltext (EUR-Lex)
EU-Kommission: The Data Act
EU-Kommission: AI Act

War dieser Artikel hilfreich für Sie?

Geschrieben von

Mirijam Pasquini

Erfahren Sie mehr