DATA GOVERNANCE ACT

Was dieser Leitfaden Ihnen gibt

Überblick über europäische Datenräume
Chancen und Pflichten bei der Datenbereitstellung
Datenvermittlungsdienste und ihre Regulierung
Verbindung zu Data Act und DSGVO

Datenräume · Datenmittler · Öffentliche Daten nutzen · Neue Geschäftsmodelle

Vorbemerkung

Diese Leitfadenreihe ist aus einer spezifischen Perspektive heraus geschrieben: der einer General Counsel / Senior Vice President, die über viele Jahre in leitender Inhouse-Funktion in regulierten Unternehmen gearbeitet hat – in der Schweiz und in der EU. Die Autorin verfügt über eine juristische und betriebswirtschaftliche Ausbildung in der Schweiz und in Deutschland sowie über langjährige operative Erfahrung als interne Rechts- und Compliance-Verantwortliche in internationalen Konzernen und KMU-Umfeldern.

Diese Kombination – juristische Tiefe, operatives Management-Know-how und direkte Erfahrung mit den Realitäten von Lieferketten, Vertragsverhandlungen und Aufsichtsbehörden – ist der Grund, warum die Texte so geschrieben sind, wie sie sind: nicht als formale Gesetzeskommentare, sondern als Arbeitsinstrumente. Sie richten sich gleichzeitig an Führungskräfte, die schnell einordnen müssen, was eine Regulierung für ihr Unternehmen bedeutet, und an Fachabteilungen, die wissen müssen, was operativ zu tun ist.

Der interdisziplinäre Ansatz ist bewusst: Digitale Regulierung berührt gleichzeitig IT, Recht, Procurement, Geschäftsführung, HR und Lieferkette. Eine Perspektive, die nur eine dieser Dimensionen kennt, liefert unvollständige Antworten. Die Leitfäden versuchen, alle relevanten Dimensionen gleichzeitig zu adressieren – mit dem Bewusstsein, dass in der Praxis selten ein Team allein zuständig ist und die wirklichen Herausforderungen meistens an den Schnittstellen entstehen.

Die Perspektive «Schweizer KMU im EU-Kontext» ist nicht zufällig. Sie spiegelt langjährige Arbeit an der Schnittstelle zwischen Schweizer Geschäftspraxis und europäischem Regulierungsrahmen: die Erfahrung, was es konkret bedeutet, wenn ein EU-Kundenvertrag plötzlich DORA-Klauseln enthält, wenn ein Procurement-Fragebogen AI-Act-Anforderungen stellt oder wenn ein Lieferant keine NIS2-konformen Sicherheitsnachweise liefern kann. Diese Leitfäden sind aus genau diesen Situationen heraus entstanden – nicht aus dem Lesen von Gesetzestexten, sondern aus der Erfahrung ihrer Auswirkungen.

Hinweis

Diese Leitfäden ersetzen keine Rechtsberatung. Sie sind Orientierungsinstrumente aus der Praxis und können keine auf den Einzelfall bezogene juristische, steuerliche oder technische Beratung ersetzen. Bei konkreten Fragen zu Ihrer Situation wenden Sie sich an qualifizierte Fachleute – gerne auch an das Team von NBK Legal: www.nbklegal.online

Vorwort: DGA – das unbekannteste Gesetz mit den grössten Chancen

Der Data Governance Act (DGA, seit September 2023 anwendbar) ist das am wenigsten diskutierte der EU-Digitalgesetze. Das ist ein Fehler – denn er schafft etwas, das für datengetriebene KMU wertvoller sein kann als alle Compliance-Anforderungen zusammen: strukturierten Zugang zu hochwertigen öffentlichen und privaten Datensätzen, die bisher entweder gesperrt oder schwer zugänglich waren.

Dieser Leitfaden beginnt nicht mit Pflichten. Er beginnt mit der Frage: Was können Sie mit dem DGA gewinnen?

DGA vs. Data Act: Die wichtigste Unterscheidung Data Act: Regelt, wer auf Daten aus vernetzten Produkten zugreifen darf (Datenzugangsrechte). DGA: Regelt, wie Daten geteilt und vermittelt werden – die Infrastruktur des Datenaustauschs. Beide wirken zusammen, aber die DGA-Chancen werden von Schweizer KMU systematisch unterschätzt.

1. Bin ich betroffen? – Drei Fragen

❓ Nutzen Sie öffentliche Datensätze (Geo-, Wetter-, Verkehrs-, Gesundheits-, Forschungsdaten) oder wollen Sie das tun? JA → DGA erleichtert und reguliert diesen Zugang. Neue Datensätze werden verfügbar. Abschnitt 2 ist Ihr Einstieg. NEIN → Weiter zu Frage 2.

❓ Betreiben oder planen Sie einen Dienst, der Daten zwischen verschiedenen Parteien vermittelt (Datenbörse, Marktplatz, neutraler Datenaustausch)? JA → Sie sind möglicherweise Datenmittler im Sinne des DGA. Registrierungspflichten gelten. Lesen Sie Abschnitt 3. NEIN → Weiter zu Frage 3.

❓ Wollen Sie Daten aus Altruismus für Forschung oder Gemeinwohl bereitstellen, oder von solchen Datensätzen profitieren? JA → Datenaltruismus-Rahmen des DGA ist relevant. Abschnitt 4 erklärt die Optionen. NEIN → DGA betrifft Sie derzeit nicht direkt. Beobachten Sie die Datenraum-Entwicklungen in Ihrer Branche (Abschnitt 5).

2. Öffentliche Daten nutzen – was jetzt möglich ist

Der DGA ergänzt die Open Data Directive und öffnet den Zugang zu Datensätzen, die bisher aus Datenschutz-, Geheimschutz- oder Wettbewerbsgründen gesperrt waren. Das ist eine echte Marktchance für datengetriebene KMU.

2.1 Was neu zugänglich wird

Datenkategorie	Was konkret verfügbar wird	Beispiele für KMU-Nutzung
Geschützte öffentliche Daten	Daten, die bisher wegen Datenschutz, Urheberrecht oder Geheimnisschutz gesperrt waren, können unter Auflagen zugänglich gemacht werden	Gesundheitsforschung, Sozialstatistiken, anonymisierte Patientendaten
Hochwertige öffentliche Datensätze	Spezifische Kategorien müssen kostenlos als Open Data bereitgestellt werden	Geodaten, Wetterdaten, Statistiken, Umweltdaten, Verkehrsdaten
Echtzeitdaten	Behörden müssen Echtzeitdaten über APIs bereitstellen	Smart-City-Daten, ÖPNV-Echtzeit, Energiepreise
Wissenschaftliche Daten	Forschungsdaten aus öffentlich finanzierten Projekten	Klimadaten, Agrardaten, Materialdaten

2.2 Bedingungen für die Nutzung

Öffentliche Daten unter dem DGA sind nicht bedingungslos zugänglich. Je nach Sensibilität gelten Nutzungsbedingungen:

Pseudonymisierung: Personenbezogene Daten müssen vor Zugang pseudonymisiert werden.

Sichere Verarbeitungsumgebung: Sensitive Datensätze können nur in zugelassenen technischen Umgebungen verarbeitet werden.

Zweckbindung: Daten dürfen nur für den angegebenen Zweck genutzt werden.

Schutz von Geschäftsgeheimnissen: Daten Dritter, die Geschäftsgeheimnisse enthalten, dürfen nicht offengelegt werden.

Praktischer Einstieg für CH-KMU Der europäische Datenkatalog (data.europa.eu) listet Hunderttausende öffentlicher Datensätze. Schweizer KMU können diese für EU-Projekte nutzen. Für Schweizer öffentliche Daten gilt opendata.swiss. Beginnen Sie mit einem Datenkatalog-Scan Ihrer Branche – die meisten KMU unterschätzen, welche hochwertigen Daten kostenlos verfügbar sind.

3. Datenmittler – eine neue Geschäftsmodell-Kategorie

Der DGA schafft eine regulierte Kategorie für Unternehmen, die Datenaustausch zwischen Parteien vermitteln, ohne selbst wirtschaftlichen Nutzen aus den Daten zu ziehen. Das ist sowohl eine Pflicht für bestehende Datenmittler als auch eine Chance für neue Geschäftsmodelle.

3.1 Was ein Datenmittler ist – und was nicht

Datenmittler im Sinne des DGA	KEIN Datenmittler
Plattformen, die Datengeber und Datennehmer zusammenbringen, ohne selbst Daten zu nutzen	Unternehmen, die Daten für eigene Geschäftszwecke verarbeiten
Neutrale Datenbörsen und Datenmarktplätze	Cloud-Anbieter, die nur Speicherung und Verarbeitung anbieten
Branchenspezifische Datenaustausch-Dienste (z.B. im Gesundheits- oder Energiesektor)	Vertrauensdienste (die fallen unter eIDAS)
Kooperative Daten-Pools ohne kommerzielle Eigennutzung	Unternehmen, die Daten von Dritten kaufen und weiterverkaufen

3.2 Pflichten als Datenmittler

Registrierung: Datenmittler müssen sich bei der nationalen Behörde des EU-Mitgliedstaates registrieren, in dem sie tätig sind.

Neutralitätspflicht: Der Datenmittler darf die vermittelten Daten nicht für eigene Zwecke nutzen – auch nicht für das Training von KI-Modellen.

Interoperabilität: Technische Schnittstellen müssen auf offenen Standards basieren.

Transparenz: Preise, Bedingungen und Prozesse müssen transparent und diskriminierungsfrei sein.

Datenschutz: Alle einschlägigen Datenschutzregeln (GDPR) gelten zusätzlich.

Für Schweizer Datenmittler Ein Schweizer Unternehmen, das als Datenmittler für EU-Parteien tätig ist, muss sich in einem EU-Mitgliedstaat registrieren oder einen EU-Vertreter benennen. Die Registrierungspflicht ist eine direkte Konsequenz des Brussels Effects.

3.3 Die Geschäftsmodell-Chance

Der DGA schafft Marktbedingungen, unter denen neutrale Datenmittler wirtschaftlich attraktiv werden. Warum?

Vertrauen als Wert: Viele Unternehmen sind bereit, Daten zu teilen – aber nur mit neutralen Intermediären, nicht mit potenziellen Wettbewerbern.

Klarer Rechtsrahmen: Bisher war unklar, unter welchen Bedingungen Datenaustausch legal ist. Der DGA schafft Rechtssicherheit.

Schweizer Vorteil: Schweizer Neutralität und Rechtssicherheit sind natürliche Argumente für Datenmittler-Rollen – ähnlich wie im Finanzsektor.

4. Datenaltruismus – Daten für das Gemeinwohl

Der DGA schafft einen formalen Rahmen für Organisationen, die Daten für Forschung, öffentliche Gesundheit oder gesellschaftliche Zwecke bereitstellen oder nutzen wollen.

4.1 Was das für KMU bedeutet – als Datenlieferant

Freiwillige Datenspende: Unternehmen können Betriebsdaten für Forschungszwecke bereitstellen, ohne Eigeninteresse preisgeben zu müssen.

Formaler Schutz: Datenaltruismus-Organisationen sind registriert und kontrolliert. Ihr Risiko als Datenlieferant ist dadurch begrenzt.

Reputationsvorteil: Beiträge zu Forschung und Gemeinwohl werden zunehmend als Qualitätsmerkmal wahrgenommen.

4.2 Was das für KMU bedeutet – als Datennutzer

Zugang zu altruistisch bereitgestellten Datensätzen: Forschungsdaten, Gesundheitsdaten, Umweltdaten – die für kommerzielle Zwecke oft nicht zugänglich wären.

Startups und Forschungsunternehmen: Besonders relevant für KMU in frühen Entwicklungsphasen, die auf Trainingsdaten für KI-Modelle angewiesen sind.

5. Europäische Datenräume – Wo entstehen die Märkte?

Der DGA ist die rechtliche Grundlage für sektorale Datenräume, die der EU-Datenstrategie zufolge bis 2030 in allen Schlüsselsektoren entstehen sollen. Für Schweizer KMU ist die Frage: In welchem Datenraum liegt Ihre Branche?

Datenraum	Status (2026)	Relevanz für CH-KMU
Gesundheit (EHDS)	In Aufbau; European Health Data Space Verordnung 2025 verabschiedet	Sehr hoch für MedTech, Pharma, digitale Gesundheitsdienste
Industrie / Manufacturing	Gaia-X und European Manufacturing Data Space im Aufbau	Hoch für Maschinenbau, Industrie 4.0, Produktionsdaten
Energie	Common European Energy Data Space	Hoch für Energietechnik, Smart Grid, Gebäudetechnik
Mobilität	European Mobility Data Space	Mittel bis hoch für Logistik, Fahrzeugtechnik, Smart City
Landwirtschaft	Agricultural Data Space (AGRI)	Hoch für Agrartechnik, Precision Farming, Lebensmittelproduktion
Finanzen	European Finance Data Space	Hoch für Fintech, Versicherungen, Banken mit EU-Aktivität
Tourismus	European Tourism Data Space	Mittel für Hospitality, Buchungsplattformen, Destinationsmanagement

Schweizer KMU und Datenräume Die Schweiz ist kein EU-Mitglied, aber Schweizer Unternehmen können an EU-Datenräumen teilnehmen, wenn sie sich an die technischen und rechtlichen Anforderungen halten. Gaia-X etwa hat explizit keine EU-Mitgliedschaft als Voraussetzung. Identifizieren Sie den für Ihre Branche relevanten Datenraum und prüfen Sie die Teilnahmebedingungen.

6. Vertragsrealität: Was DGA-konforme Datenaustausch-Verträge enthalten

6.1 Pflichtbestandteile für Datenaustausch-Verträge

Zweckbindung: Klare Definition, wofür empfangene Daten genutzt werden dürfen.

Nutzungsrechte: Wer darf die Daten weiterleiten? Unter welchen Bedingungen?

Schutz von Geschäftsgeheimnissen: Technische und organisatorische Maßnahmen zum Schutz vertraulicher Informationen in den Daten.

Löschungspflichten: Wann müssen Daten gelöscht werden? Wie wird die Löschung nachgewiesen?

Geheimnisschutz-Regime: Welches Recht gilt? (Relevant für CH-EU-Datenaustausch)

Akzeptable Zweckbindungsklausel

Klausel «Die bereitgestellten Datensätze dürfen ausschließlich für den in Anhang A definierten Analysezweck genutzt werden. Eine Weiterleitung an Dritte, eine kommerzielle Verwertung außerhalb des definierten Zwecks oder die Nutzung zur Erstellung von Wettbewerbsprodukten ist untersagt. Eine Verletzung dieser Klausel berechtigt den Datengeber zur sofortigen Vertragskündigung und begründet Schadensersatzansprüche.»

Nicht akzeptable Klausel

Ablehnen «Der Datenempfänger darf die bereitgestellten Daten frei nutzen.» – 'Frei' ohne Zweckbindung widerspricht dem DGA-Rahmen und gibt dem Datenlieferanten keinerlei Schutz. Immer eine explizite Zweckbindung verlangen.

7. Typische Fehler

Fehler 1: DGA als rein technisches Thema behandeln

'Das ist etwas für unsere IT.' Der DGA ist vor allem eine geschäftliche Frage: Welche Daten könnten Sie nutzen, um neue Produkte zu entwickeln oder bestehende zu verbessern? Welche Ihrer Daten könnten anderen Unternehmen nützlich sein? Diese Fragen sind Strategiefragen, keine IT-Fragen.

Was zu tun ist

DGA-Relevanz-Workshop mit Geschäftsleitung: Welche Datensätze wären für uns wertvoll? Wo könnten wir als Datenmittler auftreten? Was kostet uns der Aufbau einer Datenzugangs-Infrastruktur?

Fehler 2: Datenaltruismus und Datenmittler verwechseln

Beide Rollen sind unterschiedlich reguliert und haben unterschiedliche Konsequenzen. Ein Datenmittler muss sich registrieren und ist streng neutral. Eine Datenaltruismus-Organisation hat andere Anforderungen. Die Verwechslung führt zu falschen Compliance-Maßnahmen.

Fehler 3: Datenräume als weit entfernte Zukunft behandeln

Der EHDS (European Health Data Space) ist 2025 verabschiedet worden. Der Industrielle Datenraum über Gaia-X ist operativ. Für Schweizer MedTech- oder Industrieunternehmen ist die Frage nicht mehr 'Wann kommt das?', sondern 'Wie beteiligen wir uns?'

Was zu tun ist

Für Ihren Sektor: Welcher Datenraum ist relevant? Gibt es bereits Pilotprojekte? Wer sind die ersten Teilnehmer? Frühzeitige Teilnahme gibt Mitgestaltungsmöglichkeiten und Wettbewerbsvorteile.

Fehler 4: Datennutzungsrechte in Verträgen nicht regeln

Viele Datenaustausch-Vereinbarungen enthalten keine explizite Zweckbindung, keine Löschungspflichten und keinen Geheimnisschutz. Der DGA verlangt das – und ohne diese Klauseln ist Ihr Schutz als Datengeber minimal.

8. Was Sie jetzt tun – priorisiert

Prio	Maßnahme	Warum jetzt
1	Datenkatalog-Scan: Welche öffentlichen Datensätze sind für Ihr Geschäftsmodell relevant?	Viele KMU nutzen nicht, was kostenlos verfügbar ist. data.europa.eu ist der Ausgangspunkt.
2	Branchendatenraum identifizieren: In welchem EU-Datenraum ist Ihr Sektor aktiv?	Frühzeitige Beteiligung gibt Wettbewerbsvorteile und Mitgestaltungsmöglichkeiten.
3	Prüfen: Betreiben wir einen Dienst, der als Datenmittler qualifiziert?	Unbeabsichtigte Datenmittler-Tätigkeit ohne Registrierung ist ein Compliance-Risiko.
4	Datenaustausch-Verträge auf DGA-Konformität prüfen	Fehlende Zweckbindung und Geheimnisschutz sind die häufigsten Vertragslücken.
5	DGA und Data Act als komplementäre Chancen verstehen	Data Act gibt Datenzugang; DGA gibt Infrastruktur. Beide zusammen öffnen neue Märkte.

Hinweis

Dieser Leitfaden ersetzt keine Rechtsberatung. Bei konkreten Fragen wenden Sie sich an nbklegal.online.

Kontakt & weitere Informationen

NBK Legal Rechts- und Compliance-Beratung EU-Digitalregulierung · Datenschutz · Cybersicherheit Schweiz · EU	Website www.nbklegal.online Alle Leitfäden der Serie www.nbklegal.online/leitfäden

Weiter vertiefen

Self-Check Self-Check Governance Prüfen Sie Ihre Daten-Governance-Strukturen. Lesen → Deep Dive Deep Dive: Datenregulierung Technische Tiefe zu europäischen Datenräumen. Lesen → Krimi Krimi: Das geteilte Geheimnis Wenn Datenteilung zur Compliance-Falle wird. Lesen →