News

Data Act und FiDA: Ein Über­blick für Finanz­institute

31.10.2025

Seit dem 12. September 2025 gelten die Vorgaben des Data Act (DA) verbindlich für viele Unternehmen in der EU. Unternehmen, etwa aus dem produzierenden Gewerbe und der Automobilwirtschaft, beschäftigen sich intensiv damit. Schwerpunkte sind Zugangsansprüchen und Datennutzungsverträge (ausführliche Informationen finden Sie in unserem Booklet). Für Cloud Services stehen die Cloud Switching Vorgaben im Fokus.

Nach unserer Beobachtung spielt der DA in der Finanzindustrie noch keine allzu große Rolle, auch wenn er Finanzunternehmen Zugang zu interessanten Daten ermöglichen könnte. Der europäische Gesetzgeber will den Datenaustausch und damit eine Open Finance Strategie mit der sektorspezifischen Financial Data Access Regulation (FiDA) sogar noch erweitern.

Der Data Act: Ein Überblick und seine Relevanz für den Finanzsektor

Für Finanzunternehmen ist der DA vor allem in zwei Bereichen relevant:

  • Zugang zu Daten aus vernetzten Produkten (IoT): Der DA etabliert neue Zugangsrechte zu IoT-Daten (Daten, die vernetzte Produkte oder damit verbundene Dienste über Leistung, Nutzung oder Umgebung erzeugen). Finanzinstitute sind zwar selten Hersteller oder Anbieter dieser vernetzten Produkte, können aber als Dritte erhebliche Geschäftschancen durch die Nutzung dieser externen Kundendaten entwickeln. Dazu bedarf es einer Vereinbarung mit den Dateninhabern
  • Wechsel von Datenverarbeitungsdiensten: Der DA führt Regeln für Anbieter von Datenverarbeitungsdiensten ein, die den Wechsel zwischen verschiedenen Cloud-Anbietern (Cloud Switching) erleichtern sollen, um Wechselbarrieren zu beseitigen und Multi-Cloud-Strategien zu fördern. Dies betrifft Banken, Versicherer und Wertpapierfirmen, die IaaS, PaaS, SaaS oder AIaaS nutzen. Eine Multi-Cloud-Strategie zahlt letztlich auch auf die operationelle Resilienz im Sinne des DORA ein. Gleichzeitig sollten Finanzunternehmen prüfen, ob sie ihrerseits Datenverarbeitungsdienste anbieten. Wenn dies der Fall ist, müssen auch die Finanzunternehmen die Switching-Vorgaben umsetzen.

Mögliche Anwendungsfälle des Data Act für Finanzunternehmen

In der Versicherungsbranche werden vernetzte Produkte bereits eingesetzt. Ein häufig anzutreffender Use Case sind dort Telematik-Tarife für Kfz-Versicherungen. Doch auch darüber hinaus können die Datenzugangsansprüche auch der breiteren Finanzbrache neue oder optimierte Geschäftsmodelle ermöglichen. Die durch den DA ermöglichte Öffnung von Daten aus vernetzten Produkten eröffnet neue Möglichkeiten für datengestützte Geschäftsmodelle in der breiteren Finanzbranche, etwa:

  • Datenbasierte Kreditmodelle: Nutzung von Sensor- oder Flottendaten (z. B. aus Firmenfahrzeugen) zur Bewertung von Kredittilgungsraten oder Einsatz von Agrar-Sensor-Daten für eine optimierte Kreditvergabe in der Landwirtschaft
  • Personalisierte Finanzangebote: Entwicklung personalisierter Produktpakete (z. B. spezielle Kreditkarten mit Zusatzversicherungen basierend auf Auslandsaufenthalten)

Datenschutzrechtliche Schnittstellen und Compliance-Anforderungen (DSGVO)

Die DSGVO behält uneingeschränkte Anwendung und genießt im Konfliktfall Vorrang (Art. 1 Abs. 5 DA). Soweit (auch) personenbezogene Daten Gegenstand eines Datenbereitstellungsanspruchs sind, benötigen Finanzinstitute (Dateninhaber wie Datennutzer) stets eine gültige Rechtsgrundlage nach Art. 6 (und ggf. Art. 9) DSGVO. Dies ist in der Regel die Einwilligung des Kunden oder, in Einzelfällen, ein berechtigtes Interesse nach Interessenabwägung.

Ausblick auf die Financial Data Access Regulation (FiDA)

Die FiDA-Verordnung ergänzt den horizontalen Data Act im Finanzbereich und dient als sektorspezifischer Rechtsrahmen für Open Finance.

  • Ziel: Schaffung eines europäischen Finanzdatenraums zur Förderung von Innovation, Wettbewerb und einer stärkeren Kundenzentrierung
  • Betroffene Daten: Kundendaten über die Zahlungskonten hinaus: Hypotheken, Darlehen, Sparguthaben und Investitionen in Finanzinstrumente; Versicherungsanlageprodukte; Kryptowerte; Nicht-Lebensversicherungsprodukte (mit Ausnahmen, z. B. Lebens- und Krankenversicherung).
  • Betroffene Akteure:
    • Dateninhaber (z. B. Banken, Versicherer, Wertpapierfirmen, Ratingagenturen, Krypto-Dienstleister).
    • Datennutzer (andere Finanzinstitute oder neu: Financial Information Service Provider (FISP)). FISPs benötigen eine eigene Zulassung und sind darauf ausgelegt, Daten zu konsolidieren und Mehrwertdienste (z. B. Finanz-Cockpits, automatisierte Beratung) anzubieten.
  • Zentrale Inhalte & Pflichten:
    • Kundenkontrolle: Datenweitergabe nur mit ausdrücklicher Erlaubnis des Kunden.
    • Dashboard-Pflicht: Dateninhaber müssen Dashboards (Art. 8 FiDA-E) zur Echtzeit-Überwachung und -Verwaltung von Datenfreigaben bereitstellen.
    • Technische Standards: Die Datenbereitstellung muss unverzüglich, kontinuierlich und in Echtzeit über standardisierte APIs erfolgen.
    • Governance: Teilnahme an Financial Data Sharing Schemes (FDSS), die Standards, Haftungsregeln und Vergütung festlegen.

Die Verordnung (als unmittelbar geltender Rechtsakt) trat im Juni 2023 in den Legislativprozess ein. Die Trilog-Verhandlungen begannen im April 2025. Mit einer Verabschiedung wird im ersten Halbjahr 2026 gerechnet. Der Entwurf sieht zur Anwendung der FiDA-Regelungen gestaffelte Übergangsfristen vor. Volle Anwendbarkeit erlangt FiDA dann 24 Monate nach Inkrafttreten.

Fazit

Sowohl der DA als auch FiDA erfordern von Finanzinstituten erhebliche Investitionen in die IT-Infrastruktur und die Governance. Daher gab es aus der Finanzbranche auch viel Kritik an FiDA. Die Verordnung zwingt die Branche faktisch zur Digitalisierung und stellt hohe Anforderungen an die Datenqualität und die technische Machbarkeit der Echtzeit-Bereitstellung. Eine frühzeitige strategische Positionierung (als Dateninhaber oder Datennutzer) und die aktive Mitgestaltung in den FDSS sind für die Kontrolle von Kosten und die Nutzung von Wettbewerbsvorteilen entscheidend. Denn: FiDA und DA ermöglichen Finanzunternehmen neue Wachstumsfelder.

Aktuelle Entwicklungen zum Datenrecht finden Sie immer in unserem Data Law Tracker. Informationen zu unserer Praxisgruppe Data, Tech and Telecoms finden Sie hier.

Kontakt

Julian Monschke
Julian Monschke+49 69 971477179
Pascal Schumacher
Pascal Schumacher+49 30 20942030
Paul Vogel
Paul Vogel+49 89 28628542

Data Economy & Daten­schutz

Share

Bestens
informiert

Jetzt unseren Newsletter abonnieren, um zu aktuellen Entwicklungen auf dem Laufenden zu bleiben.

Jetzt anmelden
Alle anzeigen

Insights

people in a pedestrian zone
News

E pluribus unum - Einheitlicher Tarifvertrag für Leiharbeitnehmer

04.12.2025
Light in motion
News

Batteriespeicher, Energy Sharing, Kunden­anlage und Netz­betreiber – Welche Neuerungen die Änderung des Energie­wirtschaftsrechts vorsieht

04.12.2025
Abstract water bubbles pulsed
News

Neue Leitlinien der Kommission zur GPSR – Präzisierungen und Handlungsspielräume für Unternehmen

03.12.2025
forest autumnal mist
News

Ratsmandat zur Änderung der EUDR – Setzt sich eine generelle Verschiebung durch?

03.12.2025
Armed unmanned aerial vehicle on runway pulsed
News

Loitering-Munition und Drohnen als Kriegswaffen: BMWE veröffentlicht Merkblatt

02.12.2025
mountain panorama with pulse
News

CSRD – Aktuelle Entwicklungen auf europäischer und nationaler Ebene

02.12.2025
Group of umbrellas pulsed
News

BGH zum D&O-Versicherungs­schutz: Verletzung der Insolvenz­antrags­pflicht durch Geschäfts­leiter indiziert keine wissentliche Verletzung der Masse­erhaltungs­pflicht

03.12.2025
winter landscape with sunrise pulsed
News

BGH zum Ausschluss des AGB-Rechts in Schiedsklauseln

28.11.2025
Abstract background with lights pulsed
News

Netzsperren im Spannungs­feld zwischen europäischem Herkunftsland­prinzip und nationalem Jugend­schutz: VG Düsseldorf setzt neue Maßstäbe

28.11.2025