34 Antworten
Was ist der EU Data Act, und was ändert sich konkret für mein Unternehmen?
Der Data Act (Verordnung (EU) 2024/2854) ist das europäische Gesetz, das regelt, wer auf die Daten zugreifen und sie nutzen darf, die von vernetzten Produkten (Maschinen, Fahrzeugen, Smart-Haushaltsgeräten, IoT-Sensoren) und den damit verbundenen digitalen Diensten erzeugt werden. In der Praxis gibt er demjenigen, der das Produkt nutzt, das Recht, diese Daten zu erhalten und sie mit Dritten seiner Wahl zu teilen.
Für ein mittelständisches Unternehmen bedeutet das zweierlei: Wenn Sie vernetzte Maschinen oder Software nutzen, haben Sie mehr Rechte an den Daten, die Sie erzeugen; wenn Sie sie herstellen oder als Dienst anbieten, haben Sie neue Transparenz- und Zugangspflichten. Zusätzlich erleichtert die Verordnung den Wechsel des Cloud-Anbieters und macht ihn günstiger.
GiBSeS — Zu klären, auf welcher Seite des Tisches Sie stehen – als Nutzer oder als Dateninhaber –, ist der erste Schritt, den wir gemeinsam in einer Diagnose angehen.
Seit wann gilt der Data Act? Muss ich sofort handeln?
Der Data Act ist am 11. Januar 2024 in Kraft getreten, die meisten Pflichten gelten jedoch erst ab dem 12. September 2025. Einige Fristen liegen später: Die Pflicht, vernetzte Produkte so zu gestalten, dass Daten „by default“ zugänglich sind, betrifft Produkte, die nach dem 12. September 2026 in Verkehr gebracht werden, während die vollständige Abschaffung der Kosten für den Wechsel des Cloud-Anbieters bis zum 12. Januar 2027 vorgesehen ist.
Der Großteil ist also bereits anwendbar: Es lohnt sich, die eigene Position jetzt zu prüfen, statt auf die späteren Fristen zu warten.
GiBSeS — Wenn Sie nicht wissen, welche Fristen Sie tatsächlich betreffen, ist es Teil unseres Einstiegsgesprächs, die Termine mit Ihrer Situation abzugleichen.
Betrifft der Data Act auch ein kleines Unternehmen wie meines?
Ja, aber je nach Rolle unterschiedlich. Die Verordnung gilt für Hersteller vernetzter Produkte, Anbieter verbundener Dienste, Nutzer dieser Produkte (Unternehmen und Verbraucher), Anbieter von Cloud-Diensten und Datenempfänger. Auch ein kleines Unternehmen, das lediglich vernetzte Maschinen oder Software nutzt, gehört zu den geschützten Personen.
Es gibt jedoch wichtige Ausnahmen für Kleinst- und Kleinunternehmen, wenn sie selbst das Produkt herstellen oder den Dienst anbieten: In diesem Fall gelten viele Pflichten zur Datenweitergabe nicht. Als KMU zu gelten zählt, doch die eigene Position muss im Einzelfall geprüft werden.
GiBSeS — Festzustellen, ob Sie geschützte Partei, verpflichtete Partei oder beides sind, ist genau die Art von Klärung, mit der wir starten.
Um welche Daten geht es genau? Betrifft das nur IoT-Geräte?
Der Data Act betrifft Daten, die durch die Nutzung vernetzter Produkte und der damit verbundenen Dienste erzeugt werden: Industriemaschinen, Fahrzeuge, Medizinprodukte, Smart-Haushaltsgeräte, Sensoren, aber auch die Software und Apps, die deren Betrieb steuern. Erfasst sind sowohl Rohdaten als auch vorverarbeitete Daten, die das Produkt während der Nutzung erfasst, aufzeichnet oder überträgt.
Nicht erfasst sind hingegen Informationen, die der Anbieter durch aufwendige eigene Analysen und Investitionen gewinnt (die sogenannten „abgeleiteten“ oder „inferierten“ Daten); diese bleiben von der Pflicht zur Datenweitergabe ausgenommen.
GiBSeS — Rohdaten, die geteilt werden müssen, von verarbeiteten und geschützten Daten zu unterscheiden, ist eine der fachlichen Einschätzungen, bei denen wir Sie begleiten.
Kann ich auf die Daten zugreifen, die meine Maschinen oder Geräte erzeugen?
Ja. Wenn Sie ein vernetztes Produkt oder einen verbundenen Dienst nutzen, haben Sie das Recht, auf die Daten zuzugreifen, die Sie durch dessen Nutzung erzeugen – einfach, sicher, kostenlos und, wo technisch möglich, direkt und kontinuierlich. Können Sie sie nicht direkt vom Gerät erhalten, muss der Dateninhaber (in der Regel der Hersteller oder Anbieter) sie Ihnen ohne ungerechtfertigte Verzögerung zur Verfügung stellen.
Das bricht mit einer verbreiteten Praxis: Bis gestern blieben die Daten der eigenen Maschine oft in den Systemen des Herstellers verschlossen.
GiBSeS — Sich die Daten der eigenen Anlagen zurückzuholen, ist der Kern des Themas „Datensouveränität“, an dem wir mit KMU arbeiten.
Kann ich meine Daten an einen Drittanbieter weitergeben lassen, zum Beispiel eine unabhängige Werkstatt?
Ja, und das ist eine der konkretesten Neuerungen. Auf Ihren Wunsch hin muss der Dateninhaber die Daten mit einem Dritten teilen, den Sie selbst wählen – einen unabhängigen Instandhalter, einen anderen Dienstleister, einen Lösungsentwickler. Das erlaubt es Ihnen zum Beispiel, eine Anlage von wem auch immer Sie möchten warten oder optimieren zu lassen, ohne an den Hersteller gebunden zu bleiben.
Der Dritte darf die Daten nur für die mit Ihnen vereinbarten Zwecke nutzen und sie nicht ohne Ihre Zustimmung weitergeben. Ausgenommen von diesem Mechanismus sind die großen, nach dem Digital Markets Act benannten Torwächter.
GiBSeS — Dieses Recht zu nutzen, um Wettbewerb im After-Sales-Service zu ermöglichen, ist ein Anti-Lock-in-Hebel, den wir mit umsetzen helfen.
Ich stelle vernetzte Geräte oder Maschinen her: Was muss ich tun?
Als Hersteller haben Sie einige zentrale Pflichten. Sie müssen den Käufer vor dem Kauf klar darüber informieren, welche Daten das Produkt erzeugt, wie darauf zugegriffen werden kann und mit wem sie geteilt werden dürfen. Sie müssen die Daten dem Nutzer und, auf dessen Wunsch, von ihm benannten Dritten zugänglich machen. Für Produkte, die nach dem 12. September 2026 in Verkehr gebracht werden, gilt zusätzlich die Pflicht, sie so zu gestalten, dass die Daten „by design and by default“ zugänglich sind.
Sie können Ihre Geschäftsgeheimnisse mit geeigneten Maßnahmen schützen, dürfen sie aber nicht als pauschale Ausrede benutzen, um den Zugang generell zu verweigern.
GiBSeS — Verkaufsverträge, technische Dokumentation und Produktarchitektur im Licht des Data Act zu überarbeiten, ist eine Aufgabe, bei der wir Sie durchgängig unterstützen.
Ich bin Nutzer vernetzter Produkte: Was verbessert sich für mich?
Sie erhalten mehr Kontrolle und mehr Verhandlungsmacht. Sie können auf die Nutzungsdaten Ihrer Produkte zugreifen, sie mitnehmen und Dritten für Wartung, Analyse oder neue Dienste anvertrauen. Das verringert die Abhängigkeit von einem einzigen Hersteller und ermöglicht es Ihnen, Serviceangebote auf dem offenen Markt zu vergleichen.
Konkret können Sie Daten nutzbar machen, die zuvor unzugänglich blieben: Energieeffizienz, Verschleiß, vorausschauende Instandhaltung, Prozessoptimierung.
GiBSeS — Diese Rechte in Einsparungen und bessere Entscheidungen zu übersetzen, ist der praktische Teil, der uns am meisten interessiert.
In welchem Verhältnis steht der Data Act zur DSGVO? Ersetzt er sie?
Nein, der Data Act ersetzt oder schwächt die DSGVO nicht: Beide gelten parallel. Die DSGVO regelt weiterhin alle personenbezogenen Daten; der Data Act fügt Rechte auf Zugang und Portabilität hinzu, doch im Konfliktfall hat der Schutz personenbezogener Daten Vorrang. Enthalten die vom Produkt erzeugten Daten personenbezogene Informationen, braucht es weiterhin eine gültige Rechtsgrundlage und die Einhaltung der DSGVO-Grundsätze.
In der Praxis sind viele IoT-Datensätze gemischt (personenbezogene und nicht personenbezogene Daten miteinander verwoben): Sie müssen unter Berücksichtigung beider Regelwerke gemeinsam verwaltet werden.
GiBSeS — Das Geflecht aus personenbezogenen und nicht personenbezogenen Daten zu entwirren, ohne gegen eines der beiden Regelwerke zu verstoßen, ist ein typischer Knoten, den wir mit Ihnen lösen.
Kann mir ein Anbieter Knebelbedingungen bei der Datennutzung auferlegen?
Der Data Act führt einen Schutz gegen missbräuchliche Vertragsklauseln zum Datenzugang und zur Datennutzung ein, wenn diese einseitig von einem Unternehmen einem anderen auferlegt werden. Eine als missbräuchlich eingestufte Klausel ist nicht bindend: etwa eine Klausel, die Rechtsbehelfe bei Nichterfüllung offenkundig unangemessen ausschließt oder einschränkt, oder die demjenigen, der sie auferlegt, die einseitige Macht gibt zu bestimmen, ob die gelieferten Daten vertragsgemäß sind.
Es ist ein Schutz, der vor allem dazu gedacht ist, Verhältnisse auszugleichen, wenn die Gegenpartei über starke Verhandlungsmacht verfügt.
GiBSeS — Datenverträge nach nicht mehr durchsetzbaren Klauseln zu durchsuchen, ist eine schnelle, aber oft aufschlussreiche Kontrolle.
Gibt es spezifische Schutzmaßnahmen oder Ausnahmen für Kleinst- und Kleinunternehmen?
Ja. Kleinst- und Kleinunternehmen profitieren von wichtigen Erleichterungen: Wenn sie selbst ein vernetztes Produkt herstellen oder einen verbundenen Dienst anbieten, gelten die in Kapitel II der Verordnung vorgesehenen Pflichten zur Datenweitergabe in der Regel nicht. Das verhindert, dass kleinere Unternehmen mit denselben Lasten wie multinationale Konzerne belastet werden.
Vorsicht ist jedoch geboten: Die Ausnahme kann entfallen, wenn das Kleinst- oder Kleinunternehmen mit einem größeren Unternehmen verbunden oder partnerschaftlich verflochten ist. Die KMU-Eigenschaft muss nach den EU-Kriterien (Mitarbeiterzahl, Umsatz, Eigentümerstruktur) geprüft werden.
GiBSeS — Genau zu prüfen, ob Sie unter die Ausnahme fallen – und ob Ihre Gesellschaftsstruktur sie zunichtemacht –, ist eine Kontrolle, die sich lohnt, bevor Sie in Anpassungen investieren.
Hilft mir der Data Act wirklich dabei, den Cloud-Anbieter zu wechseln?
Ja, das ist eines der zentralen Ziele. Die Verordnung verpflichtet Anbieter von Datenverarbeitungsdiensten (Cloud und Edge), technische, vertragliche und kommerzielle Hindernisse für den Anbieterwechsel zu beseitigen. Sie müssen einen Migrationsprozess mit festgelegten Fristen gewährleisten, den Kunden beim Transfer von Daten und Anwendungen zu einem anderen Anbieter oder zu einer On-Premise-Infrastruktur unterstützen und dürfen keine unverhältnismäßigen Einschränkungen auferlegen.
Das Ziel ist genau, den Lock-in-Effekt zu verringern, der Unternehmen an eine einzige Plattform bindet.
GiBSeS — Das Cloud-Lock-in ist eines der Risiken, die wir zuerst bewerten: Der Data Act gibt Ihnen endlich konkrete Werkzeuge, um daraus auszusteigen.
Stimmt es, dass die Kosten für den Cloud-Ausstieg auf null sinken?
Ja. Der Data Act sieht eine schrittweise Senkung der Wechselkosten (switching charges) und deren vollständige Abschaffung bis zum 12. Januar 2027 vor. In der Übergangszeit dürfen Anbieter nur reduzierte Kosten berechnen, die sich an den tatsächlich für die Migration entstandenen Ausgaben orientieren, keine Strafgebühren. Die normalen Kosten für die laufende Nutzung des Dienstes bleiben hingegen weiterhin berechenbar.
Das nimmt eine der stärksten wirtschaftlichen Hürden für einen Anbieterwechsel, zusätzlich zu den technischen.
GiBSeS — Ihre tatsächlichen Ausstiegskosten heute zu beziffern – und wie sie bis 2027 sinken – ist eine Kalkulation, die Verhandlungen mit Anbietern verändert.
Was sagt der Data Act zur Interoperabilität von Systemen?
Die Verordnung verlangt Interoperabilitätsanforderungen, um den Datenaustausch und den Wechsel zwischen Diensten zu erleichtern. Anbieter von Cloud-Diensten müssen offene Schnittstellen und ausreichende Informationen bereitstellen, damit Daten anderswo übertragen und weiterverwendet werden können. Vorgesehen sind auch Spezifikationen für die gemeinsamen europäischen Datenräume und die Möglichkeit harmonisierter Normen.
Ziel ist, dass Daten nicht in einem proprietären Format oder einer proprietären Plattform „gefangen“ bleiben.
GiBSeS — Systeme zu planen oder auszuwählen, die wirklich interoperabel sind und nicht nur als solche beworben werden, ist eine unabhängige fachliche Bewertung, bei der wir nützlich sind.
Wenn ich Daten teilen muss, sind meine Geschäftsgeheimnisse dann gefährdet?
Der Data Act sucht einen Ausgleich: Die Pflicht zur Datenweitergabe hebt den Schutz von Geschäftsgeheimnissen nicht auf. Als Dateninhaber können Sie die durch Geschäftsgeheimnis geschützten Daten benennen und mit dem Nutzer oder dem Dritten geeignete Maßnahmen zu deren Vertraulichkeit vereinbaren (Vereinbarungen, technische Maßnahmen, Nutzungsbedingungen). In Ausnahmefällen, wenn trotz dieser Maßnahmen ein schwerwiegendes und nachweisbares Schadensrisiko besteht, kann die Weitergabe ausgesetzt oder verweigert werden.
Sie dürfen das Geschäftsgeheimnis aber nicht als generischen Vorwand nutzen, um jeglichen Zugang zu verweigern: Eine Verweigerung muss begründet und mitgeteilt werden.
GiBSeS — Schutzmaßnahmen für Ihr Know-how festzulegen, die wirklich standhalten, ohne in eine unrechtmäßige Verweigerung abzudriften, ist ein heikler Punkt, bei dem wir Sie begleiten.
Kann der Dritte, dem ich Daten gebe, sie nutzen, um mir Konkurrenz zu machen?
Es gibt präzise Grenzen. Der Dritte, der Daten auf Wunsch des Nutzers erhält, darf sie nur für die mit dem Nutzer vereinbarten Zwecke und Bedingungen verwenden und darf sie nicht nutzen, um ein Konkurrenzprodukt zu dem zu entwickeln, von dem die Daten stammen. Er darf die Daten auch nicht ohne Zustimmung an andere weitergeben.
Auch der Dateninhaber darf seinerseits die vom Nutzer erzeugten nicht personenbezogenen Daten nicht nutzen, um Informationen über dessen wirtschaftliche Lage oder Strategien zu gewinnen und so dessen Marktposition zu schädigen.
GiBSeS — Weitergabevereinbarungen so zu formulieren, dass diese Verbote wirklich greifen, ist Teil der Vertragsarbeit, die wir begleiten.
Muss ich die Daten kostenlos teilen, oder kann ich eine Vergütung verlangen?
Gegenüber dem Nutzer des Produkts ist der Zugang zu den eigenen Daten kostenlos. Werden die Daten hingegen einem dritten Unternehmen zur Verfügung gestellt, kann der Dateninhaber eine angemessene und nichtdiskriminierende Vergütung verlangen, die sich an den für die Bereitstellung der Daten entstandenen Kosten orientiert. Ist der Empfänger ein KMU oder eine Forschungseinrichtung, darf die Vergütung diese Kosten nicht übersteigen, ohne zusätzliche Marge.
Die wirtschaftlichen Bedingungen müssen in jedem Fall fair und transparent sein und dürfen nicht als versteckte Zugangsbarriere genutzt werden.
GiBSeS — Eine vertretbare Vergütung festzulegen – weder verschenkt noch ausschließend – ist eine maßgeschneiderte wirtschaftlich-vertragliche Bewertung.
Welche Sanktionen gibt es, und wer überwacht die Einhaltung des Data Act?
Der Data Act legt keine europaweit einheitlichen Bußgeldbeträge fest: Er überlässt es jedem Mitgliedstaat, die Sanktionen festzulegen, die wirksam, verhältnismäßig und abschreckend sein müssen. Jeder Staat benennt eine oder mehrere zuständige nationale Behörden für die Aufsicht; für den Bereich personenbezogener Daten bleiben die Datenschutzbehörden zuständig.
Höhe und Verfahren hängen also von den nationalen Umsetzungsvorschriften ab: Für Ihre konkrete Situation muss geprüft werden, wie der zuständige Staat die Verordnung umgesetzt hat.
GiBSeS — Zu klären, welche Behörde Sie in Ihrem Land beaufsichtigt und mit welchen Sanktionen, erspart böse Überraschungen.
Konkret: Womit fange ich an, um mich in Ordnung zu bringen?
Ein pragmatischer Weg beginnt mit vier Schritten: 1) die vernetzten Produkte und Dienste kartieren, die Sie nutzen oder anbieten, und die Daten, die sie erzeugen; 2) Ihre Rolle bestimmen (Nutzer, Dateninhaber, Hersteller, Cloud-Anbieter) und die daraus folgenden Pflichten oder Rechte; 3) Verträge überprüfen – Verkauf, Service, Cloud – und nach nicht mehr durchsetzbaren Klauseln oder neu zu verhandelnden Ausstiegskosten suchen; 4) Maßnahmen zu personenbezogenen Daten und Geschäftsgeheimnissen aufeinander abstimmen.
Es muss nicht alles auf den Kopf gestellt werden: Es geht darum zu verstehen, wo Sie exponiert sind und wo Ihnen die Verordnung umgekehrt einen Hebel gibt.
GiBSeS — Genau diese Kartierung in vier Schritten ist die Erstdiagnose, mit der wir bei KMU arbeiten.
Müssen meine bereits unterzeichneten B2B-Verträge neu aufgesetzt werden?
Nicht zwingend alle, aber sie sollten neu gelesen werden. Die neuen Schutzvorschriften zu missbräuchlichen Klauseln und zum Datenzugang wirken sich auch auf laufende Beziehungen aus, und einige Klauseln könnten nicht mehr bindend sein. Für bereits bestehende unbefristete oder langfristige Verträge sieht die Verordnung Übergangsfristen vor, doch die Richtung ist klar: Die Bedingungen zu Daten müssen angepasst werden.
Jetzt ist der richtige Zeitpunkt für eine gezielte Überprüfung der Verträge, die Daten, Cloud und vernetzte Dienste betreffen, ohne einen Rechtsstreit abzuwarten.
GiBSeS — Eine auf die vom Data Act betroffenen Punkte fokussierte Vertragsprüfung ist ein schneller Eingriff mit konkretem Ertrag.
Was ist der Unterschied zwischen Data Act, Data Governance Act und DSGVO?
Es sind drei sich ergänzende Bausteine der europäischen Datenstrategie. Die DSGVO schützt personenbezogene Daten. Der Data Governance Act (Verordnung (EU) 2022/868) schafft die Regeln und Strukturen für die freiwillige und vertrauenswürdige Datenweitergabe (Datenvermittler, Datenaltruismus, Weiterverwendung öffentlicher Daten). Der Data Act legt fest, wer das Recht hat, auf die von vernetzten Produkten erzeugten Daten zuzugreifen und sie zu nutzen, und regelt den Cloud-Anbieterwechsel sowie Vertragsklauseln.
Kurz gesagt: Die DSGVO sagt, wie personenbezogene Daten zu schützen sind, der Data Governance Act, wie sie vertrauenswürdig geteilt werden, der Data Act, wer sie erhalten und nutzen darf.
GiBSeS — Sich zwischen überlappenden Regelwerken zurechtzufinden, ohne Verwirrung oder Doppelarbeit, ist Teil des Mehrwerts eines unabhängigen Beraters.
Warum ist der Data Act strategisch wichtig, nicht nur als Compliance-Thema?
Weil er die Macht über Daten zu demjenigen verschiebt, der sie erzeugt. Über die gesetzliche Pflicht hinaus bedeutet das für ein mittelständisches Unternehmen, sich die Daten der eigenen Anlagen zurückzuholen, Anbieter und Technologiepartner frei zu wählen, den Cloud-Lock-in abzubauen und Ausstiegskosten zu senken. Das ist die praktische Grundlage der Datensouveränität: weniger von einem einzigen Anbieter abhängig zu sein und die Kontrolle über die eigenen Informationen zu behalten.
So betrachtet wird Compliance zur Gelegenheit, die eigenen technologischen Entscheidungen neu und besser zu gestalten, nicht nur zur Pflichtübung.
GiBSeS — Den Data Act von einer Pflicht zu einem Anti-Lock-in- und Unabhängigkeitshebel zu machen, ist genau die Art, wie wir ihn mit Ihnen angehen.
Gilt der Data Act für mein Unternehmen auch, wenn ich keinen Sitz oder keine Niederlassung in der Europäischen Union habe?
Ja. Der Data Act (VO (EU) 2024/2854) folgt einem Marktkriterium, nicht einem Niederlassungskriterium: Er gilt für alle, die vernetzte Produkte auf dem EU-Markt in Verkehr bringen oder verbundene Dienste sowie Datenverarbeitungsdienste für Nutzer und Kunden in der Union anbieten, unabhängig davon, wo sich ihr Unternehmenssitz befindet. Ob Sie in den USA, im Vereinigten Königreich, in der Schweiz oder in Asien ansässig sind, schließt Sie nicht von den Pflichten aus.
Sobald eine Ihrer Maschinen, ein IoT-Gerät oder ein Cloud-Dienst bei einem europäischen Nutzer landet, fallen Sie in den Anwendungsbereich der Verordnung und müssen sich wie ein EU-Unternehmen konform verhalten.
GiBSeS — GiBSeS hilft außereuropäischen KMU von Anfang an zu verstehen, ob und wie der Data Act sie betrifft, bevor er zu einem Hindernis für den Zugang zum europäischen Markt wird.
Was fällt genau unter „vernetzte Produkte“ und „verbundene Dienste“, wenn ich nach Europa exportiere?
Als vernetztes Produkt gilt ein Gegenstand, der Daten über seine Nutzung oder seine Umgebung erlangt, erzeugt oder erfasst und diese über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder den Gerätezugriff übermitteln kann: Industriemaschinen, Fahrzeuge, Medizinprodukte, Smart-Haushaltsgeräte, Sensoren, landwirtschaftliche Geräte und allgemein IoT. Verbundene Dienste sind digitale Dienste (Apps, Plattformen, Cloud-Funktionen), ohne die das Produkt eine oder mehrere Funktionen nicht erfüllen könnte, oder die der Anbieter mit dem Produkt verknüpft.
Wenn Sie Hardware verkaufen, die mit Ihrer eigenen Cloud oder App „spricht“, fallen Sie so gut wie sicher unter beide Kategorien.
GiBSeS — GiBSeS kartiert Ihr Produkt und dessen digitales Ökosystem, um genau festzustellen, welche Pflichten des Data Act auf dem EU-Markt greifen.
Ab wann muss ich Data-Act-konform sein, um weiterhin in Europa verkaufen zu können?
Der Data Act ist seit dem 11. Januar 2024 in Kraft, gilt aber allgemein erst ab dem 12. September 2025. Einige Bestimmungen haben eigene Fristen: Die Pflichten zur Produktgestaltung, damit Daten „by design“ zugänglich sind, gelten für vernetzte Produkte, die nach dem 12. September 2026 in Verkehr gebracht werden, während die Regeln zur Abschaffung der Kosten für den Wechsel des Cloud-Anbieters ab dem 12. Januar 2027 vollständig gelten.
Wenn Sie Produkteinführungen oder -updates für den EU-Markt planen, müssen diese Termine bereits in der Entwicklungsphase berücksichtigt werden, nicht erst kurz vor dem Verkauf.
GiBSeS — GiBSeS erstellt mit Ihnen eine an diesen Fristen ausgerichtete Roadmap, damit der Zugang zum EU-Markt nicht durch Last-Minute-Anpassungen verzögert wird.
Konkret: Was muss ich europäischen Nutzern meiner Produkte ermöglichen?
Der EU-Nutzer (Unternehmen oder Verbraucher) hat das Recht, auf die Daten zuzugreifen, die er durch die Nutzung Ihres vernetzten Produkts oder verbundenen Dienstes erzeugt, und sie mit Dritten seiner Wahl zu teilen, etwa einem anderen Wartungs- oder Dienstanbieter. Als Dateninhaber müssen Sie diese Daten einfach, sicher, für den Nutzer kostenlos und, soweit technisch möglich, kontinuierlich und in Echtzeit zur Verfügung stellen.
Sie können die Nutzungsdaten des Produkts nicht mehr als exklusiven eigenen Vermögenswert behandeln: Die Kontrolle verschiebt sich teilweise zum europäischen Kunden.
GiBSeS — GiBSeS hilft Ihnen, Datenflüsse und Verträge konform neu zu gestalten, ohne mehr abzugeben, als die Norm tatsächlich verlangt.
Muss ich meine Produkte neu entwickeln, um sie in der EU zu verkaufen?
In vielen Fällen ja, zumindest teilweise. Der Data Act führt den Grundsatz „Datenzugang by design and by default“ ein: Vernetzte Produkte und die zugehörigen Dienste müssen so entwickelt und hergestellt werden, dass der Nutzer einfach, sicher und (wo möglich) direkt auf die erzeugten Daten zugreifen kann. Das kann Änderungen an Firmware, Schnittstellen, APIs und technischer Dokumentation erfordern.
Die Gestaltungspflicht gilt für Produkte, die nach dem 12. September 2026 auf dem EU-Markt in Verkehr gebracht werden – wer heute neue Versionen entwickelt, hat also noch ein Zeitfenster zur Anpassung.
GiBSeS — GiBSeS unterstützt Ihre technischen Teams dabei, die Datenzugänglichkeit von der Entwicklung an ins Produkt zu integrieren, und vermeidet so teure nachträgliche Änderungen.
Brauche ich einen Vertreter oder eine Kontaktstelle in Europa für den Data Act?
Der Data Act sieht keine generelle Pflicht vor, für alle Betroffenen einen EU-Vertreter zu benennen, wie ihn Art. 27 der DSGVO vorsieht. Dennoch müssen Sie auf dem europäischen Markt aus Compliance-Sicht erreichbar und handlungsfähig sein: klare Informationen für den Nutzer, Kanäle zur Bearbeitung von Datenzugangsanfragen und die Fähigkeit, mit den zuständigen Behörden zu kommunizieren.
Ob Sie eine Ansprechperson oder Einheit in der EU brauchen, hängt von Ihrem Vertriebsmodell ab (Direktverkauf, über Importeur, über Vertriebshändler) und muss im Einzelfall geprüft werden, auch in Kombination mit anderen EU-Verordnungen, die einen Vertreter tatsächlich verlangen.
GiBSeS — GiBSeS hilft Ihnen als unabhängiger Berater, eine angemessene Compliance-Präsenz in Europa aufzubauen, ohne Sie an einen einzigen Anbieter oder Vermittler zu binden.
Wer ist für die Compliance verantwortlich: ich als ausländischer Hersteller, der Importeur oder der EU-Vertriebshändler?
Der Data Act weist die Hauptpflichten dem „Dateninhaber“ zu, also demjenigen, der das Recht oder die Pflicht hat, die Daten zur Verfügung zu stellen: typischerweise der Hersteller oder Anbieter des verbundenen Dienstes, der die Produktdaten kontrolliert, auch wenn er im Ausland sitzt. Europäische Importeure und Vertriebshändler haben eine Rolle, entbinden Sie aber nicht automatisch von Ihrer Verantwortung für Gestaltung und Bereitstellung der Daten.
Die Verantwortlichkeiten müssen entlang der Lieferkette klar in den Verträgen festgelegt werden: Eine unklare Vereinbarung riskiert, die Pflicht (und das Risiko) bei Ihnen als Hersteller zu belassen.
GiBSeS — GiBSeS analysiert Ihre EU-Vertriebskette und hilft, Rollen und Verantwortlichkeiten in den Verträgen so zu verteilen, dass keine Pflicht ungedeckt bleibt.
Ich bin ein außereuropäischer Cloud-Anbieter mit europäischen Kunden: Welche Pflichten zu Anbieterwechsel und Interoperabilität habe ich?
Wenn Sie Datenverarbeitungsdienste (Cloud, Edge und Ähnliches) für Kunden in der Union anbieten, verpflichtet Sie der Data Act, den Anbieterwechsel zu erleichtern: Beseitigung vertraglicher, kommerzieller und technischer Hindernisse, festgelegte Fristen für die Migration, Portabilität von Daten und digitalen Vermögenswerten sowie Interoperabilitätsanforderungen. Die Wechselkosten müssen schrittweise gesenkt werden und dürfen ab dem 12. Januar 2027 nicht mehr berechnet werden (abgesehen von befristeten Ausnahmen auf Basis der tatsächlichen Kosten).
Das gilt auch, wenn Ihre Infrastruktur außerhalb der EU liegt, solange der Kunde europäisch ist.
GiBSeS — GiBSeS unterstützt außereuropäische Anbieter dabei, Verträge, Egress und Portabilitätsarchitekturen anzupassen, um auf dem europäischen Cloud-Markt wettbewerbsfähig und konform zu bleiben.
Beschränkt der Data Act die Übermittlung nicht personenbezogener Daten meiner europäischen Kunden außerhalb der EU?
Ja, teilweise. Kapitel VII des Data Act verpflichtet insbesondere Anbieter von Datenverarbeitungsdiensten, Maßnahmen zu treffen, um den Zugriff auf und die internationale Übermittlung von in der EU gespeicherten nicht personenbezogenen Daten zu verhindern, wenn dies dem Recht der Union oder der Mitgliedstaaten widersprechen würde. Fordert eine Regierung oder Behörde eines Drittstaats solche Daten an, muss der Anbieter vor der Weitergabe präzise Garantien einhalten.
Für ein Unternehmen mit Sitz etwa in den USA oder in Asien bedeutet das, dass „inländische“ Zugriffsanfragen in Spannung zu den EU-Pflichten geraten können: Das Thema muss gesteuert, nicht ignoriert werden.
GiBSeS — GiBSeS hilft, Governance und technische Maßnahmen aufzusetzen, die dem doppelten Spannungsfeld zwischen Ihrem Herkunftsland und den EU-Datenregeln standhalten.
In welchem Verhältnis stehen Data Act und DSGVO, wenn die Produktdaten personenbezogene Daten enthalten?
Der Data Act tritt neben die DSGVO, ersetzt sie aber nicht. Enthalten die vom vernetzten Produkt erzeugten Daten personenbezogene Daten, gilt die DSGVO weiterhin vollständig: Im Konfliktfall hat das Recht auf Schutz personenbezogener Daten Vorrang, und für jede Verarbeitung und Weitergabe braucht es eine gültige Rechtsgrundlage. Der Data Act fügt Zugangs- und Weitergaberechte hinzu, schafft aber selbst keine neue Rechtsgrundlage für die Verarbeitung personenbezogener Daten.
Wer in die EU verkauft, muss also gleichzeitig zwei Ebenen managen: Zugang/Portabilität (Data Act) und Rechtmäßigkeit der Verarbeitung (DSGVO).
GiBSeS — GiBSeS koordiniert die Data-Act- und DSGVO-Compliance in einem einzigen Rahmen, damit die beiden Regelwerke in Ihren Produkten und Verträgen nicht in Konflikt geraten.
Was riskiere ich konkret bei Nichtkonformität: Bußgelder, eine Zollblockade meiner Waren?
Die Sanktionen für Verstöße gegen den Data Act werden von den einzelnen Mitgliedstaaten festgelegt und müssen wirksam, verhältnismäßig und abschreckend sein; ist ein Verstoß gegen personenbezogene Daten betroffen, können zusätzlich die Sanktionen der DSGVO hinzukommen (bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes). Über die Bußgelder hinaus kann Nichtkonformität zu vertraglichen Auseinandersetzungen mit europäischen Kunden und Partnern sowie zu kommerziellen Schwierigkeiten beim Marktzugang führen.
Das Hauptrisiko für ein außereuropäisches Unternehmen ist weniger eine automatische „Zollblockade“ als der Verlust europäischer Kunden, Ausschreibungen und Partnerschaften, weil das Produkt heute erwartete Anforderungen des Marktes nicht erfüllt.
GiBSeS — GiBSeS übersetzt diese Risiken in konkrete Prioritäten und hilft Ihnen, den Zugang zum EU-Markt zu sichern, bevor daraus ein kommerzielles oder rechtliches Problem wird.
Wo fange ich konkret an, um Data-Act-konform zu sein und Zugang zum EU-Markt zu erhalten?
Ein sinnvoller Weg beginnt mit drei Schritten: (1) Ihre Produkte und Dienste kartieren, um zu verstehen, welche „vernetzt“ oder „verbunden“ sind und welche Daten sie erzeugen; (2) Ihre Rolle bestimmen (Dateninhaber, Cloud-Dienstanbieter usw.) und die relevanten Fristen; (3) Produktgestaltung, Verträge mit EU-Nutzern und -Partnern sowie Maßnahmen zu internationalen Datenübermittlungen überprüfen.
Daraus lässt sich ein priorisierter Anpassungsplan ableiten, der die Anstrengungen dort bündelt, wo das Markt- und Sanktionsrisiko am höchsten ist, ohne die Organisation mit unnötigen Pflichten zu überlasten.
GiBSeS — GiBSeS, unabhängiger Technologieberater, begleitet außereuropäische KMU Schritt für Schritt auf diesem Weg, damit der Zugang zum europäischen Markt schnell bleibt und nicht an einen einzigen Anbieter gebunden ist.
Dieser Inhalt dient der Information und stellt keine Rechtsberatung dar.
Machen wir eine Bestandsaufnahme Ihrer Daten
Es braucht keine endlose Rechtsberatung: Eine Kartierung Ihrer Rolle im Data Act und eine gezielte Vertragsprüfung genügen, um zu verstehen, wo Sie exponiert sind und wo Ihnen die Verordnung umgekehrt einen Hebel gegen Lock-in gibt. Als unabhängiger Advisor sagen wir Ihnen, was für Ihr KMU wirklich zählt.
Erstdiagnose vereinbaren