EU Data Act: Neue Regeln für Datenzugang, IoT-Daten und Cloud-Portabilität ab 12. September 2025

Am 12. Januar 2024 trat der EU Data Act (Verordnung (EU) 2023/2854) in Kraft. Ab dem 12. September 2025 gilt er nach Ablauf einer Übergangsfrist nun unmittelbar in allen Mitgliedstaaten. Ziel des EU Data Act ist es, die Nutzung und Weitergabe von Daten innerhalb der EU zu erleichtern, Innovation zu fördern und gleichzeitig faire Wettbewerbsbedingungen zu schaffen.

Für international tätige Unternehmen ergeben sich damit neue Rechte, Pflichten und Chancen im Umgang mit Daten.

1. Kernelemente des EU Data Act

Zugang zu Nutzungsdaten

Hersteller vernetzter Produkte und Anbieter verbundener Dienste müssen Nutzern (Unternehmen und Verbrauchern) den Zugang zu den von ihnen erzeugten Daten ermöglichen.

Weitergabe an Dritte

Nutzer können verlangen, dass ihre Daten auf Wunsch auch direkt an Dritte übertragen werden – etwa an Serviceanbieter oder Geschäftspartner.

Pflichten für Hersteller & Anbieter

• Daten müssen leicht zugänglich, kostenlos und in maschinenlesbarem Format bereitgestellt werden.

• Vertragsklauseln, die die Nutzung oder Weitergabe von Daten unangemessen einschränken, sind unwirksam.

Öffentliche Stellen

Behörden erhalten im Krisenfall oder bei besonderem öffentlichen Interesse Zugang zu Unternehmensdaten (z. B. bei Energiekrisen, Pandemien).

Cloud-Portabilität

Wechsel zwischen Cloud-Anbietern muss einfacher werden; sog. "Vendor Lock-in" soll verhindert werden.

2. Adressaten und Beispiele aus der Praxis

Hersteller vernetzter Produkte

• Maschinenbau: Hersteller industrieller CNC-Maschinen müssen Betriebs- und Sensordaten bereitstellen (z. B. über Schnittstellen oder Dashboards).

• Automobilindustrie: Autohersteller müssen die im Fahrzeug generierten Daten (z. B. Fahr- und Wartungsdaten, Fehlermeldungen) für Kunden und Werkstätten freigeben.

• Haustechnik/Smart Devices: Hersteller von Smart-Home-Geräten (z. B. vernetzte Thermostate, Heizungen, Haushaltsgeräte) müssen den Nutzern Verbrauchs- und Leistungsdaten zugänglich machen.

Anbieter digitaler Dienste & Dateninfrastrukturen

• Cloud-Provider müssen Datenportabilität sicherstellen.

• SaaS-Anbieter (z. B. ERP- oder CRM-Systeme) müssen maschinenlesbare Datenauszüge bereitstellen.

• Datenintermediäre (z. B. Mobility-Datenmarktplätze, Energie-Datenhubs, Market Data Provider) dürfen keine unangemessenen Einschränkungen in AGB vorsehen.

Indirekt betroffen – alle Unternehmen, die Daten nutzen oder weitergeben

• Werkstätten & Aftermarket-Services können Fahrzeugdaten direkt vom Hersteller anfordern.

• Energieversorger können Messdaten aus intelligenten Zählern für eigene Tarife nutzen.

• Landwirtschaft: Landwirte können Betriebsdaten vernetzter Traktoren an externe Optimierungsdienste weiterleiten lassen.

• Logistikunternehmen können Echtzeitdaten von Telematik-Anbietern an Drittplattformen übertragen lassen.

3. Cloud-Portabilität und Switching Requirements

Ein zentrales Element des EU Data Act betrifft "Data Processing Services" – also Infrastruktur-, Plattform- und Software-as-a-Service (IaaS, PaaS, SaaS). Ab dem 12. September 2025 gelten hierfür besondere Switching-Pflichten, die den Wechsel von Kunden erleichtern sollen:

• Verbot von "Vendor Lock-ins": Anbieter dürfen keine technischen oder vertraglichen Barrieren errichten, die einen Wechsel erschweren oder verhindern.

• Portabilitätsfristen: Daten müssen innerhalb von max. 30 Tagen übertragbar sein.

• Transparenzpflichten: Anbieter müssen Kunden klare Informationen über Datenstrukturen und Schnittstellen bereitstellen.

• Kostenregelung: Gebühren für den Wechsel werden ab 2027 vollständig untersagt.

• Exit-Strategien: Anbieter müssen Kunden beim Umzug von Daten und Anwendungen aktiv unterstützen.

Wichtig:
Für Unternehmen als Kunden von Cloud- und SaaS-Diensten bedeutet dies: mehr Wahlfreiheit, weniger Abhängigkeit von großen Anbietern ("Vendor Lock-in") – aber auch die Notwendigkeit, Cloud-Strategien und Verträge frühzeitig anzupassen.

4. Datenschutz & Geschäftsgeheimnisse

Der EU Data Act ändert nichts am geltenden Schutz personenbezogener Daten und von Geschäftsgeheimnissen:

Geschäftsgeheimnisse

Auch wenn angeforderte Daten Geschäftsgeheimnisse enthalten, müssen sie Nutzern oder Dritten grundsätzlich zugänglich gemacht werden. Voraussetzung ist jedoch, dass der Dateninhaber zuvor angemessene Schutzmaßnahmen ergreifen konnte – etwa durch technisch-organisatorische Vorkehrungen oder den Abschluss von Geheimhaltungsvereinbarungen (NDAs). Der Dateninhaber bestimmt, welche Informationen als Geschäftsgeheimnisse gelten. Solange keine Einigung über die (angemessenen) Schutzmaßnahmen erzielt ist, darf die Herausgabe vorübergehend verweigert werden.

Personenbezogene Daten

Die Datenschutz-Grundverordnung (DSGVO) bleibt uneingeschränkt anwendbar. Enthalten die Daten auch personenbezogene Daten, bedarf die Zugänglichmachung, ihre Nutzung oder Weitergabe einer Rechtsgrundlage nach der DSGVO (z. B. Art. 6 oder Art. 20 DSGVO). Der EU Data Act selbst schafft keine eigene Rechtsgrundlage. In der Praxis empfiehlt sich daher die Anonymisierung oder Pseudonymisierung personenbezogener Daten, bevor diese offengelegt werden.

5. Bedeutung für deutsche Unternehmen

• Neue Chancen: Zugang zu Maschinen- und IoT-Daten (z.B. aus Industrieanlagen, Fahrzeugen, IoT-Geräten) eröffnet Spielräume für neue Service- und Geschäftsmodelle.

• Neue Pflichten: Hersteller und Anbieter müssen Schnittstellen und Prozesse für den Datenzugang und Cloud-Portabilität einrichten und rechtssicher betreiben.

• Vertragliche Anpassungen: Geschäftsbedingungen, Lizenz- und Serviceverträge müssen überprüft und hinsichtlich der Unwirksamkeit „unfairer“ Klauseln angepasst werden.

• Compliance-Risiko: Fehlende oder unzureichende Umsetzung kann zu Bußgeldern und Reputationsschäden führen.

• Strategische Relevanz: Wer die neuen Datenzugangsrechte aktiv nutzt, kann Wettbewerbsvorteile erschließen – insbesondere im Aftermarket und bei digitalen Services.

Handlungsempfehlungen zur Daten-Governance, IT- und Vertrags-Compliance

• Dateninventur durchführen: Welche Daten fallen im Unternehmen an? Wer hat bislang Zugriff?

• AGB und vertragliche Regelungen prüfen: Lieferanten-, Service- und Cloud-Verträge auf "unfaire" Klauseln überprüfen und ggf. anpassen.

• Technische Prozesse aufsetzen: Schnittstellen und Systeme für den Datenzugang und die Zugriffsrechte von Nutzern und Dritten bereitstellen.

• Cloud-Strategie entwickeln: Wechselmöglichkeiten und Portabilität sicherstellen.

• Governance & Compliance: Verantwortlichkeiten und interne Prozesse für Datenzugang, -weitergabe und Zusammenarbeit mit Behörden festlegen (IT Policies).

• Datenschutz & Geschäftsgeheimnisse berücksichtigen: Bei der Weitergabe von Daten DSGVO-Vorgaben einhalten sowie Geheimhaltungsvereinbarungen (NDAs) und Schutzmaßnahmen frühzeitig in Vertrags-, IT- und Compliance-Strukturen implementieren.

Fazit

Der EU Data Act schafft einen einheitlichen Rechtsrahmen für die Nutzung und Weitergabe von Daten in Europa. Für international tätige Mittelständler bedeutet dies zugleich neue Chancen durch besseren Datenzugang und neue Pflichten beim Umgang mit Produkt- und Servicedaten. Wer rechtzeitig interne Prozesse, Verträge und Compliance-Strukturen anpasst, kann die Regulierung als Wettbewerbsvorteil nutzen.