Logo: MR Datentechnik
MR Datentechnik Logo
Schließen
Schließen
Support

Der Zugang zu Daten wird zum entscheidenden Wettbewerbsfaktor. Für viele Unternehmen entscheiden sie darüber, wer am Markt vorne liegt – und wer eben nicht. Mit dem EU Data Act hat die Europäische Union ein wegweisendes Regelwerk geschaffen: Die Verordnung verändert, wie Unternehmen mit Daten aus vernetzten Produkten umgehen müssen. Für Hersteller, Nutzer und Dienstleister bedeutet das: Wer jetzt nicht handelt, riskiert nicht nur Bußgelder, sondern auch den Anschluss an neue Geschäftsmodelle. 

Inhaltsverzeichnis

Kurze Einführung in den EU Data Act 

Der EU Data Act – offiziell Verordnung (EU) 2023/2854 – ist ein zentrales Element der europäischen Datenstrategie. Er regelt den Zugang zu Daten, die durch vernetzte Produkte und damit verbundene Dienste generiert werden. Das Ziel: Daten sollen fairer, transparenter und sicherer genutzt werden – und zwar im gesamten europäischen Binnenmarkt.  

Die Verordnung trat am 11. Januar 2024 in Kraft. Die meisten Pflichten gelten verbindlich seit dem 12. September 2025, wobei für bestimmte Produktgruppen und Anforderungen Übergangsfristen bis zum 12. September 2026 vorgesehen sind. 

Wer ist vom EU Data Act betroffen? 

Im Kern geht es um fairen Datenzugang, Datenportabilität, Interoperabilität zwischen Systemen und den Schutz vor dem Missbrauch von Datenmacht.  

Die Regelungen betreffen nicht nur Hersteller von IoT-Geräten, sondern alle Unternehmen entlang der Wertschöpfungskette – vom Dateninhaber über Nutzer und Datenempfänger bis hin zu Anbietern von Datenverarbeitungsdiensten wie Cloud-Plattformen. Auch Unternehmen außerhalb der EU sind betroffen, sofern sie Produkte oder Dienste im europäischen Markt anbieten. 

  • Hersteller vernetzter Produkte 
  • Unternehmen, die Daten aus diesen Produkten verwalten 
  • Dienstleister, die mit diesen Daten arbeiten 
  • Anbieter von Datenverarbeitungsdiensten, etwas Cloud-Plattformen

Zentrale Eckpunkte des EU Data Act: 

  1. Nutzer erhalten Zugriff auf ihre Daten 
    Wer ein vernetztes Produkt nutzt, hat Anspruch auf die Daten, die dabei entstehen.   
  1. Daten müssen einfach nutzbar sein 
    Unternehmen müssen Daten kostenlos, unverzüglich und in maschinenlesbaren Formaten bereitgestellen 
  1. Weitergabe an Dritte ist möglich 
    Nutzer können verlangen, dass ihre Daten an Dritte ihrer Wahl weitergegeben werden, zum Beispiel an Wartungsdienste oder Analyseanbieter 
  1. Geschäftsgeheimnisse bleiben geschützt 
    Unternehmen müssen sensible Informationen nicht preisgeben. Geschäftsgeheimnisse und Sicherheitsanforderungen bleiben geschützt. 
  1. Cloud-Wechsel soll einfacher werden 
    Cloud-Anbieter müssen den Wechsel zwischen Diensten erleichtern und die technischen und vertraglichen Hürden reduzieren 
  • Zugriff für Behörden im Notfall 
    Öffentliche Stellen erhalten in Ausnahmesituationen, wie Naturkatastrophen,  eingeschränkten Datenzugang. 

Rechtlicher Hintergrund und zeitlicher Rahmen 

Die vollständige Bezeichnung lautet „Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für den fairen Zugang zu und die Nutzung von Daten (Datenverordnung)”. Sie ändert auch bestehende Rechtsakte wie die Verordnung (EU) 2017/2394 und die Richtlinie (EU) 2020/1828. 

Der Gesetzgebungsprozess begann im Februar 2022 mit einem Vorschlag der European Commission. Nach intensiven Verhandlungen im Trilog-Verfahren wurde im Juni 2023 eine politische Einigung erzielt. Das European Parliament und der Council stimmten im November 2023 der finalen Fassung zu, die Veröffentlichung im Amtsblatt erfolgte im Dezember 2023. 

Der Data Act fügt sich in die umfassende European Data Strategy ein und ergänzt bestehende Regelwerke wie die DSGVO, den Data Governance Act, die Datenfreifluss-Verordnung, den Digital Services Act und den Digital Markets Act. Gemeinsam bilden diese Rechtsakte das Fundament für die europäische Datenwirtschaft. 

Wichtige Stichtage im Überblick: 

Datum Ereignis 
Februar 2022 Vorschlag der Kommission 
Juni 2023 Politische Einigung im Trilog 
13. Dezember 2023 Annahme durch European Parliament und Council 
22. Dezember 2023 Veröffentlichung im Amtsblatt der EU 
11. Januar 2024 Inkrafttreten der Verordnung 
12. September 2025 Beginn der Geltung für die meisten Pflichten 
12. September 2026 Anwendungspflichten für „Access by Design” und neue Produkte 
Ab 2027 Weitere Anpassungsfristen für Bestandsverträge 
2028 Erste Evaluierung der Verordnung durch die Kommission 

Anders als eine Richtlinie ist die Verordnung unmittelbar in allen Mitgliedstaaten geltendes Recht. Nationale Durchführungsvorschriften – etwa zur Zuständigkeit von Behörden oder zu Bußgeldverfahren – werden ergänzend erlassen. In Deutschland ist beispielsweise das „Data Act-Durchführungsgesetz” in Vorbereitung. 

Anwendungsbereich: Wer und was ist vom EU Data Act betroffen? 

Die Verordnung erfasst alle Akteure und Unternehmen, die vernetzte Produkte oder damit verbundene Dienste in der EU anbieten, herstellen oder nutzen. Dabei spielt es keine Rolle, ob das Unternehmen seinen Sitz innerhalb oder außerhalb der EU hat. Auch Firmen außerhalb der EU fallen darunter, sobald ihre Produkte oder Dienste auf dem europäischen Markt verfügbar sind. 

Beispiele für verbundene Produkte nach Branchen: 

Branche Typische Produkte 
Smart Home Vernetzte Thermostate, Sprachassistenten, intelligente Beleuchtung, Haushaltsgeräte 
Maschinenbau Industrie-Roboter, CNC-Maschinen, Produktionsanlagen mit Sensorik 
Automotive Fahrzeuge mit Telematik, vernetzte Flottenfahrzeuge, E-Ladestationen 
Landwirtschaft Traktoren mit GPS und Sensoren, Mähdrescher, Bewässerungssysteme 
Gesundheitswesen Medizinische Geräte mit Fernüberwachung, Wearables, Diagnostikgeräte 

Rollen im Geltungsbereich des EU Data Acts 

  • Hersteller: Produzieren physische Produkte oder stellen verbundene Dienste bereit 
  • Nutzer: Natürliche oder juristische Personen, die Produkte besitzen, leasen, mieten oder Dienste nutzen 
  • Dateninhaber: Wer rechtlich oder faktisch über die Bereitstellung der Daten verfügt (oft der Hersteller) 
  • Datenempfänger: Dritte, die auf Nutzerwunsch Daten erhalten (z.B. Werkstätten, Berater) 
  • Anbieter von Datenverarbeitungsdiensten: Cloud-, Edge- und Plattformdienste 
  • Öffentliche Stellen: Behörden mit eingeschränktem Zugangsrecht in Notfällen 

Ausnahmen vom Anwendungsbereich des EU Data Acts 

  • Produkte, deren Hauptzweck in der bloßen Speicherung oder Übertragung von Daten liegt (z.B. reine Router) 
  • Prototypen und Produkte außerhalb des EU-Marktes 
  • Reine Content-Dienste (z.B. Streaming-Plattformen) hinsichtlich des Inhalts selbst 

Definitionen: „Daten”, „verbundene Produkte” und beteiligte Akteure 

Der Data Act unterscheidet verschiedene Datenkategorien, die über die personenbezogenen Daten der DSGVO hinausgehen. Das Verständnis dieser Begriffe ist entscheidend für die korrekte Anwendung der Verordnung. 

Produktdaten”  

umfassen alle Daten, die durch die Nutzung, Leistung oder Umgebung eines vernetzten Produkts generiert werden. Dazu gehören Sensor-Messwerte, Betriebszustände, Fehlerprotokolle und Umgebungsinformationen. Nicht erfasst sind reine Beschreibungsdaten wie Handbücher oder Verpackungsangaben.  

„Verbundene Dienst-Daten”  
 

entstehen durch Nutzerhandlungen, Inaktivität oder Vorgänge in Zusammenhang mit einem verbundenen Dienst – etwa einer Steuerungs-App oder Wartungsplattform. 

„verbundenes Produkt”  

ist nach der Verordnung ein physischer Gegenstand, der Daten über seine Nutzung oder seine Umgebung erfasst und diese über elektronische Kommunikationsdienste übermitteln kann. Der Fokus liegt auf dem Internet of Things und vernetzten Geräten aller Art. 

Schlüsselbegriffe mit Praxisbeispielen: 

Begriff Definition Praxisbeispiel 
Nutzer Natürliche oder juristische Person, die ein Produkt besitzt, least oder nutzt Betreiber einer Produktionsanlage, Fahrzeughalter, Landwirt 
Dateninhaber Wer rechtlich oder faktisch über Nutzung und Bereitstellung der Daten verfügt Hersteller einer vernetzten Maschine, der die Cloud-Plattform betreibt 
Datenempfänger Dritte, die auf Nutzerwunsch Daten erhalten Unabhängige Werkstatt, Versicherung, Beratungsunternehmen 
Anbieter von Datenverarbeitungsdiensten Unternehmen, die Cloud-, Edge- oder ähnliche Dienste bereitstellen AWS, Azure, spezialisierte Industrie-Cloud-Plattformen 

Zentrale Ziele und Grundprinzipien des EU Data Act 

Der EU Data Act verfolgt das übergeordnete Ziel, den fairen und sicheren Zugang zu Daten sowie deren Nutzung im europäischen Binnenmarkt zu erleichtern. Die Kommission schätzt, dass ein funktionierender europäischer Datenmarkt bis 2028 einen zusätzlichen Beitrag von etwa 270 Milliarden Euro zum BIP der Mitgliedstaaten leisten kann. 

Die Verordnung bewegt sich dabei in einem Spannungsfeld: Einerseits sollen Unternehmen, die in Datenerhebung und -verarbeitung investieren, einen angemessenen Return on Investment erzielen können. Andererseits dürfen Nutzer und Dritte nicht durch proprietäre Systeme und Datensilos von fairen Zugangsmöglichkeiten ausgeschlossen werden. 

Kernziele der Verordnung: 

  • Stärkung der Datensouveränität:  
    Nutzer erhalten echte Kontrolle über die von ihnen erzeugten Daten 
  • Förderung innovativer Geschäftsmodelle: Neue datengetriebene Services und Anwendungen werden ermöglicht 
  • Wettbewerbsfähiger Datenmarkt: Datenmengen werden für mehr Akteure zugänglich, nicht nur für große Plattformen 
  • Vermeidung von Lock-in-Effekten: Nutzer können Anbieter wechseln, ohne ihre Daten zu verlieren 
  • Unterstützung von EU-Politikzielen: Beitrag zum Green Deal durch effizientere Nutzung von Maschinendaten 
  • Digitale Souveränität: Stärkung der europäischen Position im globalen Datenwettbewerb 

Die Verordnung folgt einigen klaren Grundprinzipien: Transparenz, Fairness, technologische Neutralität und Verhältnismäßigkeit. Gleichzeitig bleiben Datenschutz, Geschäftsgeheimnissen und Cybersicherheit gewahrt. 

Neue Rechte und Pflichten beim Zugang zu IoT- und Produktdaten 

Kapitel II des Data Act etabliert ein umfassendes System von Rechten und Pflichten rund um den Zugang zu Produktdaten. Artikel 3 und 4 bilden dabei das Herzstück der neuen Regelungen. 

Nutzer von verbundenen Produkten erhalten ein ausdrückliches Recht auf Zugang zu den Daten, die durch ihre Nutzung generiert werden. Diese Daten müssen vom Dateninhaber grundsätzlich kostenlos, unverzüglich und in einem strukturierten, gängigen sowie maschinenlesbaren Format bereitgestellt werden. Wo technisch machbar, soll der Zugang direkt erfolgen – ohne Umwege über Herstellerplattformen. 

Besonders weitreichend ist das Recht auf Weitergabe: Nutzer können verlangen, dass ihre Daten an einen Dritten ihrer Wahl übermittelt werden. Das können unabhängige Werkstätten, Versicherungen, Beratungsunternehmen oder andere Dienstleister sein. Vertragsklauseln, die dieses Recht unangemessen beschränken, können als missbräuchlich gelten. 

Zentrale Rechte und Pflichten im Überblick: 

Aspekt Inhalt 
Datenzugang Nutzer haben Recht auf alle durch ihre Nutzung generierten Daten 
Kosten Bereitstellung grundsätzlich kostenlos 
Format Strukturiert, gängig, maschinenlesbar 
Zeitrahmen Unverzüglich nach Anfrage 
Weitergabe an Dritte Auf Verlangen des Nutzers an beliebigen Empfänger 
Geschäftsgeheimnisse Dürfen durch angemessene Maßnahmen geschützt werden 
Sicherheit Technische Schutzmaßnahmen bleiben zulässig 

Nutzerrechte: Zugriff, Portabilität und Transparenz 

Das Recht auf Zugriff umfasst sowohl Echtzeitdaten als auch historische Verlaufsdaten aus verbundenen Produkten. Dabei spielt es keine Rolle, ob der Nutzer Eigentümer ist oder das Produkt least bzw. mietet – das Zugriffsrecht besteht in allen Konstellationen. 

Die Datenportabilität nach dem Data Act geht deutlich über die bekannten Regelungen der DSGVO hinaus. Während sich die DSGVO primär auf personenbezogene Daten konzentriert, erfasst der Data Act auch nicht-personenbezogene Daten und stellt B2B-Konstellationen in den Mittelpunkt. Ein Unternehmen, das vernetzte Maschinen betreibt, kann seine Betriebsdaten mitnehmen und leichter nutzen – unabhängig davon, ob diese Daten Personenbezug haben. 

Hersteller müssen bereits vor Vertragsschluss transparent informieren: Welche Daten werden generiert? Wer hat Zugriff? Für welche Zwecke können die Daten genutzt werden?  So können Käufer bereits vor dem Kauf einschätzen, welche Daten entstehen und wie damit umgegangen wird – und ihre Entscheidung entsprechend treffen. 

Praxisbeispiele für Nutzerrechte: 

  • Vernetztes Auto: Der Fahrzeughalter kann Telemetrie- und Fahrdaten anfordern und an eine unabhängige Werkstatt übermitteln lassen – nicht nur an die Herstellerplattform 
  • Landmaschine: Ein Landwirt erhält Zugriff auf GPS-Daten, Bodenfeuchtemessungen und Ernteerträge seines Traktors, um sie mit seiner Beratungssoftware oder Genossenschaft zu teilen 
  • Industrie-Roboter: Der Betreiber einer Produktionsanlage kann Leistungs- und Verschleißdaten direkt abrufen, um Wartung eigenständig zu planen 

Unternehmenspflichten: technische und organisatorische Umsetzung 

Für Hersteller und Dateninhaber entstehen konkrete Handlungspflichten. Die wichtigste: Es müssen technische Schnittstellen bereitgestellt werden, über die Nutzer ihre Daten abrufen oder an Dritte übertragen lassen können. 

Technische Anforderungen: 

  • Einrichtung von Nutzerportalen oder APIs für den Datenzugang 
  • Bereitstellung standardisierter, maschinenlesbarer Datenformate 
  • Sichere Authentifizierungs- und Autorisierungsmechanismen 
  • Dokumentation der verfügbaren Daten und Zugriffswege 

Organisatorische Anforderungen: 

  • Etablierung interner Prozesse zur Identifikation und Klassifikation relevanter Daten 
  • Definition von Rollen und Verantwortlichkeiten (Data Stewards, Compliance-Beauftragte) 
  • Schulung von Mitarbeitenden in Vertrieb, Support und Entwicklung 
  • Anpassung von AGB und Verträgen an die neuen Anforderungen 

Vertragliche Anforderungen: 

  • Gestaltung fairer Bedingungen für den Datenzugang 
  • Verbot missbräuchlicher Klauseln gegenüber KMU 
  • Transparente Darstellung von Nutzungsbedingungen und Rechten 
  • Dokumentation zum Nachweis der Compliance 

B2B-Datenaustausch, Vertragsbalance und Schutz vor Missbrauch 

Der Data Act adressiert gezielt Vertragsungleichgewichte im B2B-Datenmarkt. Große Marktakteure sollen ihre Position nicht nutzen können, um kleinere Unternehmen durch unfaire Klauseln zu benachteiligen. 

Die Verordnung erklärt bestimmte Vertragsklauseln für potenziell missbräuchlich, etwa: 

  • Vollständiger Ausschluss jeglicher Haftung des Dateninhabers 
  • Einseitige Änderungsvorbehalte ohne angemessene Vorankündigung 
  • Übermäßige Exklusivitätsvereinbarungen 
  • Unangemessene Einschränkungen der Datenweitergabe 

Für Standard-Situationen beim Datenaustausch hat die Europäische Kommission die Entwicklung unverbindlicher Mustervertragsklauseln angekündigt. Diese sollen Unternehmen – insbesondere KMU – Orientierung bei der Vertragsgestaltung bieten. 

Gleichzeitig schützt die Verordnung legitime Interessen der Dateninhaber. Wer in die Erhebung und Aufbereitung von Daten investiert, soll einen angemessenen wirtschaftlichen Nutzen ziehen können. Der Data Act verbietet nicht die kommerzielle Verwertung von Daten – er stellt nur sicher, dass Nutzer nicht vollständig von ihren eigenen Nutzungsdaten ausgeschlossen werden. 

Datenzugang für öffentliche Stellen in Ausnahmesituationen 

Artikel 14 und 15 des Data Act regeln einen eng begrenzten Datenzugang für öffentliche Stellen. Dieser greift nur bei „außergewöhnlichem Bedarf” – typischerweise in Krisensituationen. 

Voraussetzungen für den Datenzugang: 

  • Es muss ein außergewöhnlicher Bedarf vorliegen (z.B. Naturkatastrophe, Pandemie, großflächiger Cyberangriff) 
  • Die Daten müssen zur Erfüllung einer gesetzlich definierten Aufgabe im öffentlichen Interesse erforderlich sein 
  • Alternative Wege zur Datenbeschaffung müssen ausgeschöpft sein 
  • Der Zugang muss verhältnismäßig sein 

Praktische Beispiele: 

  • Mobilitätsdaten zur Koordinierung von Evakuierungen bei Überschwemmungen 
  • Infrastrukturdaten zur Bewertung von Schäden nach Naturkatastrophen 
  • Energieverbrauchsdaten zur Steuerung von Versorgungsengpässen 
  • Gesundheitsdaten (aggregiert) zur Pandemiebekämpfung 

Unternehmen haben grundsätzlich Anspruch auf angemessene Entschädigung für die Bereitstellung. Nur in besonders gravierenden Notfallsituationen kann dieser Anspruch entfallen. Wichtig: Es handelt sich nicht um eine generelle „Datenmeldepflicht”, sondern um ein eng umgrenztes Notfallinstrument. 

Cloud, Edge & Co.: Wechsel zwischen Datenverarbeitungsdiensten und Interoperabilität 

Ein wesentlicher Teil des Data Act betrifft Anbieter von Datenverarbeitungsdiensten – insbesondere Cloud-Dienste und Edge-Computing-Plattformen. Ziel ist die Reduzierung von Lock-in-Effekten und die Stärkung der Wahlfreiheit für Kunden. 

Verpflichtungen für Cloud-Anbieter: 

Bereich Anforderung 
Wechselunterstützung Aktive Hilfe beim Übergang zu anderem Anbieter 
Wechselentgelte Schrittweise Reduzierung, perspektivisch Verbot 
Datenexport Bereitstellung aller Kundendaten in portierbarem Format 
Vertragsgestaltung Transparente Exit-Regelungen im Vertrag 
Interoperabilität Offene Schnittstellen und Standardformate 

Die Verordnung greift auch ein anderes sensibles Thema auf: den Zugriff ausländerischer Behörden auf Daten 

Cloud-Anbieter müssen Maßnahmen treffen, um Daten aus der EU vor  unrechtmäßigen Zugriffen durch Behörden in Drittstaaten zu schützen. Das gilt besonders dann, wenn solche Zugriffe nicht mit europäischem Recht vereinbar sind. 

Praktische Implikationen für Unternehmen: 

  • Multi-Cloud-Strategien werden einfacher umsetzbar 
  • Exit-Pläne sollten bereits bei Vertragsschluss definiert werden 
  • Standardisierte Datenformate erleichtern den Anbieterwechsel 
  • Kostenrisiken beim Wechsel sinken mittelfristig 

Smart Contracts und automatisierter Datenaustausch 

Der Data Act enthält spezifische Regelungen für Smart Contracts, die zur automatisierten Ausführung von Datenfreigabe-Vereinbarungen eingesetzt werden. Diese technologieneutralen Vorgaben richten sich vor allem an Anbieter, die solche Lösungen geschäftsmäßig entwickeln und bereitstellen. 

Anforderungen an Smart Contracts: 

  • Unterbrechbarkeit: Ein „Kill-Switch” muss die Ausführung stoppen können 
  • Nachvollziehbarkeit: Alle Transaktionen müssen dokumentiert und prüfbar sein 
  • Manipulationsschutz: Technische Sicherheit gegen unbefugte Änderungen 
  • Transparenz: Funktionsweise muss für Vertragsparteien verständlich sein 

Ein praktisches Beispiel: Ein Smart Contract könnte automatisch Maschinendaten an einen Wartungsdienstleister freigeben, sobald vertraglich definierte Bedingungen erfüllt sind – etwa die Zahlung einer Servicegebühr oder das Erreichen bestimmter Betriebsstunden. Die automatisierte Ausführung spart Zeit und reduziert manuelle Fehler. 

Praktische Auswirkungen: Branchenbeispiele und Use Cases 

Der Data Act wirkt sich konkret auf zahlreiche Branchen aus. Die neuen Rechte und Pflichten ermöglichen innovative Geschäftsmodelle und verändern bestehende Wertschöpfungsketten. 

Industrie 4.0: Betreiber von Produktionsanlagen erhalten Zugang zu Leistungs- und Verschleißdaten ihrer Maschinen. Dies ermöglicht vorausschauende Wartung (Predictive Maintenance), reduziert ungeplante Stillstände und optimiert die Ressourcennutzung. Unabhängige Serviceanbieter können nun Wartungsleistungen anbieten, die zuvor nur Herstellern mit exklusivem Datenzugang möglich waren. 

Automotive: Fahrzeughalter und Flottenbetreiber können Fahr- und Telemetriedaten nutzen, um Versicherungstarife zu optimieren (Pay-per-Use), unabhängige Werkstätten zu beauftragen oder Flotteneffizienz zu analysieren. Die Abhängigkeit von proprietären Herstellerplattformen sinkt. 

Gesundheitswesen: Vernetzte medizinische Geräte generieren wertvolle Leistungs- und Statusdaten. Der Zugang zu diesen Daten unterstützt Innovation in Dienstleistungen und Forschung – wobei der besondere Schutz personenbezogener Gesundheitsdaten nach DSGVO unverändert gilt. 

Nachhaltigkeit: Der verbesserte Datenzugang ermöglicht längere Produktlebenszyklen durch optimierte Wartung, effizientere Ressourcennutzung durch datenbasierte Steuerung und neue Kreislaufwirtschafts-Modelle durch bessere Produkttransparenz. 

Beispiele: Maschinenbau, Landwirtschaft, Mobilität 

Maschinenbau 

Ein Hersteller von CNC-Fräsmaschinen liefert vernetzte Anlagen an produzierende Unternehmen. Bisher flossen alle Betriebsdaten exklusiv an die Cloud-Plattform des Herstellers. 

Nach dem Data Act kann der Maschinenbetreiber nun verlangen: 

  • Echtzeit-Zugang zu Spindeldrehzahlen, Werkzeugverschleiß und Energieverbrauch 
  • Export der Daten in standardisierten Formaten 
  • Weitergabe an einen unabhängigen Wartungsdienstleister 

Der Hersteller behält das Recht, Geschäftsgeheimnisse zu schützen – etwa proprietäre Algorithmen zur Fehlererkennung. Die rohen Maschinendaten müssen jedoch zugänglich sein. Neue Chancen entstehen für Start-ups, die datenbasierte Services entwickeln, ohne selbst Maschinen produzieren zu müssen. 

Landwirtschaft 

Moderne Traktoren und Mähdrescher sind hochgradig vernetzt. Sie erfassen GPS-Positionen, Bodenfeuchtigkeit, Ernteerträge und Kraftstoffverbrauch. Bisher kontrollierten Landmaschinenhersteller diese Datenflüsse weitgehend exklusiv. 

Der Data Act stärkt die Position der Landwirte: 

  • Standardisierter Zugriff auf alle Maschinendaten 
  • Freie Wahl, mit welcher Agrar-Software die Daten verarbeitet werden 
  • Möglichkeit, Daten mit Beratern, Genossenschaften oder Versicherungen zu teilen 

Dies fördert herstellerunabhängige Lösungen für Precision Farming und ermöglicht neue datenbasierte Beratungsangebote. 

Mobilität 

Im Automobilbereich entstehen durch vernetzte Fahrzeuge große Datenmengen. Der Data Act verändert das Machtgefüge zwischen Herstellern, Haltern und Dienstleistern. 

Konkrete Auswirkungen: 

  • Fahrzeughalter können Telemetriedaten an unabhängige Werkstätten übermitteln 
  • Flottenbetreiber erhalten direkten Zugang zu Verbrauchsanalysen 
  • Versicherer können – mit Zustimmung – nutzungsbasierte Tarife entwickeln 
  • Carsharing-Anbieter profitieren von standardisierten Fahrzeugdaten 

Die etablierten Hersteller müssen ihre Geschäftsmodelle anpassen, während neue Akteure Zugang zum Daten-Ökosystem erhalten. 

Umsetzung in der Praxis: Compliance-Fahrplan für Unternehmen 

Die Umsetzung der Data-Act-Anforderungen gelingt am besten mit einem klaren, strukturierten Ansatz. Ein mehrstufiger Fahrplan hilft, alle relevanten Aspekte systematisch anzugehen und dabei nichts zu übersehen. 

Phase 1: Analyse (1-3 Monate) 

  • Bestandsaufnahme aller vernetzten Produkte und Dienste 
  • Data Mapping: Welche Daten entstehen wo und fließen wohin? 
  • Identifikation der eigenen Rolle (Hersteller, Dateninhaber, Nutzer) 
  • Prüfung bestehender Verträge und AGB 
  • Gap-Analyse gegenüber den Anforderungen des Data Act 

Phase 2: Strategie (1-2 Monate) 

  • Definition der Zielarchitektur für Datenzugang 
  • Festlegung von Prioritäten und Ressourcen 
  • Abstimmung zwischen Rechtsabteilung, IT, Produktentwicklung und Vertrieb 
  • Einbindung des Datenschutzbeauftragten 

Phase 3: Technische Umsetzung (3-6 Monate) 

  • Entwicklung oder Beschaffung von Schnittstellen (APIs, Portale) 
  • Implementierung standardisierter Datenformate 
  • Einrichtung sicherer Zugriffskontrollen 
  • Test und Dokumentation der technischen Lösungen 

Phase 4: Vertragliche und organisatorische Anpassung (2-4 Monate) 

  • Überarbeitung von AGB und Kundenverträgen 
  • Schulung von Mitarbeitenden 
  • Etablierung interner Prozesse für Datenanfragen 
  • Dokumentation für Compliance-Nachweise 

Für Nicht-EU-Unternehmen gilt zusätzlich: Wer Produkte oder Dienste im EU-Markt anbietet, muss gegebenenfalls einen rechtlichen Vertreter in der EU benennen. Die nationalen Aufsichtsbehörden – in Deutschland voraussichtlich die Bundesnetzagentur – überwachen die Einhaltung der Vorgaben. 

Verstöße gegen den Data Act – Risiken, Sanktionen und Aufsicht 

Verstöße gegen den Data Act können erhebliche Konsequenzen haben. Die konkrete Ausgestaltung der Sanktionen erfolgt durch die Mitgliedstaaten, die Verordnung gibt jedoch den Rahmen vor. 

Mögliche Konsequenzen bei Verstößen: 

  • Behördliche Anordnungen zur Herstellung der Compliance 
  • Geldbußen nach nationalem Recht 
  • Zivilrechtliche Ansprüche betroffener Nutzer 
  • Reputationsschäden und Vertrauensverlust bei Kunden 
  • Wettbewerbsnachteile gegenüber compliant-agierenden Konkurrenten 
  • Störungen etablierter Geschäftsmodelle 

Die Zuständigkeit liegt bei den nationalen Behörden des Mitgliedstaats, in dem das Unternehmen ansässig ist oder in dem sein rechtlicher Vertreter benannt wurde. Zwischen den Aufsichtbehörden der Mitgliedstaaten ist zudem eine Zusammenarbeit vorgesehen, damit die Regeln einheitlich durchgesetzt werden. 

Empfehlung zur Integration: 

Data-Act-Compliance sollte nicht als isoliertes Projekt behandelt werden. Die Integration in bestehende Compliance-Management-Systeme – etwa für DSGVO, Informationssicherheit oder Vertragsmanagement – schafft Synergien und vermeidet Doppelstrukturen. Unternehmen, die bereits robuste Governance-Prozesse etabliert haben, können diese für den Data Act erweitern. 

Ausblick: Weiterentwicklung der EU-Datenregulierung 

Der Data Act ist Teil einer dynamischen Regulierungslandschaft. Weitere Entwicklungen werden die praktische Anwendung beeinflussen und ergänzen. 

Die EU plant im Rahmen einer „Digital Omnibus”-Initiative verschiedene Anpassungen bestehender Digitalgesetze. Die KI-Verordnung (AI Act) wird zusätzliche Anforderungen an datenbasierte Systeme stellen. Sektorale Datenräume – etwa für Gesundheit, Mobilität oder Energie – werden die allgemeinen Regeln des Data Act mit branchenspezifischen Vorgaben ergänzen. 

Eine Überarbeitung verwandter Rechtsakte ist ebenfalls zu erwarten. Die Datenbankrichtlinie könnte angepasst werden, Interoperabilitätsstandards werden weiterentwickelt. Die erste offizielle Evaluierung des Data Act ist für 2028 vorgesehen – dann werden Anpassungsbedarfe systematisch geprüft. 

Geopolitische Faktoren: 

Die unterschiedlichen Regulierungsansätze in der EU, den USA und anderen Wirtschaftsräumen beeinflussen internationale Datenflüsse. Unternehmen mit globalem Geschäft müssen verschiedene Rechtsrahmen berücksichtigen. Eine strategische Datenarchitektur, die Flexibilität für regulatorische Anpassungen bietet, wird zum Wettbewerbsvorteil. 

Handlungsempfehlung: 

Unternehmen sollten das Thema Data Governance dauerhaft auf Geschäftsführungsebene verankern. Wer heute eine nachhaltige Compliance-Architektur aufbaut, ist besser auf künftige Regulierungsentwicklungen vorbereitet. Der Data Act ist nicht das Ende der europäischen Datenregulierung – er markiert den Anfang einer neuen Ära für die europäische Datenwirtschaft. 

Wettbewerbsvorteile statt Compliance-Risiken: Der strategische Weg zur Umsetzung 

Der EU Data Act etabliert verbindliche Regeln für den Zugang zu Daten aus vernetzten Produkten und Diensten. Unternehmen müssen technische Schnittstellen bereitstellen, faire Vertragsbedingungen gewährleisten und Nutzerrechte respektieren. Die Pflichten gelten seit September 2025 – wer jetzt handelt, sichert sich Wettbewerbsvorteile und vermeidet Compliance-Risiken. Eine strategische Integration in bestehende Governance-Strukturen ist der effizienteste Weg zur Umsetzung. 

MR DATENTECHNIK – IHR IT-PARTNER FÜR DEN EU DATA ACT 

Die Suche nach dem passenden Experten für die technische Umsetzung des EU Data Acts können Sie hier erfolgreich abschließen. Die MR Datentechnik bündelt rechtssichere IT-Lösungen, maßgeschneiderte Schnittstellen für vernetzte Produkte und sichere Cloud-Services unter einem Dach. 

Nehmen Sie noch heute Kontakt für eine unverbindliche Erstberatung auf und machen Sie Ihre Datenarchitektur gesetzeskonform! 

 
FAQ 

 
Für welche Unternehmen gilt der EU Data Act? 

Die Verordnung betrifft grundsätzlich alle Unternehmen, die vernetzte Produkte oder damit verbundene Dienste auf dem europäischen Markt anbieten, herstellen oder nutzen. Ausnahmen bestehen lediglich für Klein- und Kleinstunternehmen, um diese wirtschaftlich nicht zu überlasten. 

 
Ab wann müssen die Vorgaben der Datenverordnung umgesetzt sein? 

Der EU Data Act trat im Januar 2024 in Kraft und ist für die meisten Pflichten seit dem 12. September 2025 verbindlich anwendbar. Für das Design neuer vernetzter Produkte (Access by Design) gilt eine erweiterte Übergangsfrist bis zum 12. September 2026. 

Ersetzt der EU Data Act die bestehende Datenschutz-Grundverordnung (DSGVO)? 

Nein, die europäische Datenverordnung ergänzt die DSGVO lediglich. Sobald durch vernetzte Produkte personenbezogene Daten generiert werden, behalten die strengen Schutzvorschriften der Datenschutz-Grundverordnung weiterhin uneingeschränkt Vorrang. 

Sind unternehmerische Geschäftsgeheimnisse durch die Pflicht zur Datenweitergabe in Gefahr? 

Nein, das Gesetz schützt berechtigte Geschäftsgeheimnisse. Unternehmen können die Offenlegung und Weitergabe verweigern oder technische Schutzmaßnahmen einfordern, wenn sie nachweisen können, dass ansonsten ein erheblicher wirtschaftlicher Schaden droht. 

Was ändert sich durch die neuen Regeln beim Wechsel von Cloud-Anbietern? 

Anbieter von Datenverarbeitungsdiensten müssen künftig sämtliche vertraglichen und technischen Hürden für einen Anbieterwechsel abbauen. Dies umfasst die Pflicht zu offenen Schnittstellen sowie das schrittweise, vollständige Verbot von Wechselentgelten bis 2027.