Ab wann gilt der EU Data Act?

Der EU Data Act trat am 11. Januar 2024 in Kraft und ist ab dem 12. September 2025 in allen EU-Mitgliedstaaten verbindlich anzuwenden. Designpflichten gelten ab 12. September 2026, Wechselentgelte werden bis 12. Januar 2027 schrittweise abgeschafft.

Welche KMU sind vom Data Act betroffen?

Betroffen sind KMU, die vernetzte Produkte oder IoT-Geräte herstellen, verbundene digitale Dienste anbieten oder Cloud-/Edge-Services betreiben. Kleinstunternehmen mit unter 50 Mitarbeitern und max. 10 Mio. Euro Umsatz haben Erleichterungen und längere Übergangsfristen.

Was sind die wichtigsten Pflichten aus dem Data Act?

Hersteller und Dateninhaber müssen Nutzern kostenfrei Zugang zu Produktdaten gewähren, auf Wunsch Daten an Dritte bereitstellen, faire FRAND-Vertragsbedingungen gewährleisten, Cloud-Wechsel ermöglichen, Interoperabilität stärken und transparente Datensteckbriefe bereitstellen.

Was bedeutet FRAND im Data Act?

FRAND steht für Fair, Reasonable and Non-Discriminatory (fair, angemessen und nicht-diskriminierend). Bei B2B-Datenteilung gelten faire Konditionen mit angemessener, kostenbasierter Vergütung. Von KMU-Empfängern darf keine Marge verlangt werden.

Wie unterscheidet sich der Data Act von der DSGVO?

Die DSGVO schützt personenbezogene Daten und regelt deren Verarbeitung. Der Data Act regelt den Zugang zu allen Datenarten (auch nicht-personenbezogene Industrie- und Maschinendaten) aus vernetzten Geräten und Services und fördert die Datenwirtschaft.

Leitfaden zur EU Data Act Compliance

1. Einleitung: Die Neudefinition der europäischen Datenwirtschaft

Der EU Data Act: Mehr als nur eine neue Verordnung – ein Paradigmenwechsel

Der EU Data Act (Verordnung (EU) 2023/2854), der am 11. Januar 2024 in Kraft getreten ist und ab dem 12. September 2025 verbindlich anzuwenden ist, markiert eine fundamentale Neuausrichtung der europäischen Datenökonomie. Er stellt einen gezielten Eingriff in bestehende Geschäftsmodelle dar, indem er die Kontrolle über Daten, die durch vernetzte Produkte (Internet of Things, IoT) generiert werden, von den Herstellern und Anbietern (den Dateninhabern) hin zu den Nutzern – sowohl Verbrauchern als auch Unternehmen – verschiebt. Diese Verordnung ist kein inkrementelles Update bestehender Gesetze, sondern ein Paradigmenwechsel, der darauf abzielt, Datensilos aufzubrechen und die Vision eines echten europäischen Binnenmarktes für Daten zu verwirklichen.

Kernziele: Fairness, Innovation und das Aufbrechen von Datensilos

Die Verordnung verfolgt fünf strategische Ziele, die das Fundament der neuen Datenwirtschaft bilden:

1 Regulierung des Zugangs zu IoT-Daten

Nutzern wird das Recht eingeräumt, auf die von ihnen miterzeugten Daten zuzugreifen und deren Weitergabe an Dritte zu veranlassen.

2 Gewährleistung vertraglicher Fairness

Missbräuchliche Vertragsklauseln, die insbesondere kleinen und mittleren Unternehmen (KMU) einseitig auferlegt werden, werden für unwirksam erklärt.

3 Datenzugang für den öffentlichen Sektor

In außergewöhnlichen Notsituationen, wie Naturkatastrophen oder Pandemien, können öffentliche Stellen auf Daten von Unternehmen zugreifen.

4 Erleichterung des Cloud-Wechsels

Technische und vertragliche Hürden für den Wechsel zwischen Datenverarbeitungsdiensten werden abgebaut, um den Wettbewerb zu stärken und Lock-in-Effekte zu verhindern.

5 Förderung der Interoperabilität

Die Entwicklung gemeinsamer Standards soll den Datenaustausch erleichtern und technische Barrieren abbauen.

Das übergeordnete Bestreben ist die "optimale Verteilung der Daten zum Nutzen der Gesellschaft", um Innovationen zu fördern, neue Geschäftsmodelle zu ermöglichen und die Wettbewerbsfähigkeit der EU, insbesondere gegenüber außereuropäischen Technologiekonzernen, zu stärken.

Strategische Relevanz für Unternehmen in Deutschland und der EU

Der Anwendungsbereich des Data Act ist weitreichend und betrifft eine Vielzahl von Akteuren: Hersteller vernetzter Produkte – von intelligenten Haushaltsgeräten über Fahrzeuge bis hin zu komplexen Industriemaschinen –, Anbieter verbundener digitaler Dienste, Cloud-Anbieter und potenziell jedes Unternehmen, das im Rahmen von B2G-Anfragen Daten bereitstellen muss. Die Wahrnehmung in der deutschen Wirtschaft ist gespalten: Eine Umfrage zeigt, dass 49 % den Data Act als Chance für ihr Unternehmen betrachten, während 40 % ihn als Risiko einstufen. Diese Divergenz unterstreicht die Notwendigkeit einer tiefgehenden strategischen Auseinandersetzung.

Wichtig: Die Verordnung sollte nicht als reine Compliance-Last, sondern als ein "Stresstest für die Datenstrategie" eines Unternehmens verstanden werden. Sie erzwingt eine kritische Überprüfung der eigenen Data Governance und eröffnet gleichzeitig strategische Chancen für die Entwicklung neuer datenbasierter Dienstleistungen und Geschäftsmodelle.

Die Verordnung ist nicht isoliert zu betrachten, sondern als zentraler Baustein der umfassenderen EU-Datenstrategie. Zusammen mit dem Data Governance Act und anderen Regulierungen wie NIS2 und DORA bildet sie ein regulatorisches Ökosystem, das die digitale Handlungsfähigkeit Europas stärken soll. Dieser politische Wille manifestiert sich in mehreren Aspekten des Data Act: Er zielt darauf ab, die Dominanz großer Tech-Konzerne zu reduzieren, indem er Daten-Lock-ins bei IoT-Geräten und Cloud-Diensten verhindert. Er stärkt explizit die Verhandlungsposition von KMU gegenüber größeren Vertragspartnern. Zudem enthält er Vorschriften zum Schutz nicht-personenbezogener EU-Daten vor unzulässigem Zugriff aus Drittländern. Diese Maßnahmen sind ein klares Bekenntnis zur Stärkung der europäischen Datenwirtschaft und zur Reduzierung strategischer Abhängigkeiten – dem Kernkonzept der digitalen Souveränität.

2. Der rechtliche Rahmen des Data Act im regulatorischen Ökosystem der EU

Detaillierte Analyse der Kernanforderungen

Der Data Act führt ein differenziertes Regelwerk ein, das sich über mehrere Kapitel erstreckt und den gesamten Lebenszyklus von Daten adressiert:

Datenzugangs- und Weitergabeansprüche (Kapitel II)

Das Herzstück der Verordnung gewährt Nutzern das Recht, auf die durch die Nutzung vernetzter Produkte und verbundener Dienste generierten Daten zuzugreifen und deren Weitergabe an Dritte zu verlangen. Dies umfasst explizit Rohdaten sowie die zu deren Interpretation notwendigen Metadaten – beispielsweise die Fahr- und Sensordaten eines vernetzten Fahrzeugs, nicht aber die im Infotainment-System abgespielte Musik. Die Bereitstellung der Daten muss für den Nutzer einfach, sicher und kostenfrei sein und, wo technisch machbar, kontinuierlich und in Echtzeit erfolgen.

Pflichten für Dateninhaber (Kapitel III)

Dateninhaber sind verpflichtet, Dritten auf Anweisung des Nutzers Daten zu fairen, angemessenen und nicht-diskriminierenden (FRAND) Bedingungen zur Verfügung zu stellen. Während vom Datenempfänger eine angemessene Vergütung verlangt werden darf, ist diese bei KMU oder gemeinnützigen Forschungseinrichtungen auf die reinen Bereitstellungskosten beschränkt.

Datenbereitstellung an öffentliche Stellen (Kapitel V)

Als eine Lehre aus der COVID-19-Pandemie etabliert dieses Kapitel einen Mechanismus, der es öffentlichen Stellen erlaubt, in "außergewöhnlichen Notsituationen" wie Naturkatastrophen oder Gesundheitskrisen von Unternehmen die Herausgabe von Daten zu verlangen.

Wechsel von Datenverarbeitungsdiensten (Kapitel VI)

Um den Wettbewerb im Cloud-Markt zu fördern, müssen Anbieter von Cloud- und Edge-Diensten technische, vertragliche und organisatorische Hürden für einen Anbieterwechsel beseitigen. Wechselgebühren werden schrittweise reduziert und sind ab dem 12. Januar 2027 vollständig verboten.

Internationale Datenübermittlung und Interoperabilität (Kapitel VII & VIII)

Die Verordnung sieht Maßnahmen vor, um nicht-personenbezogene Daten in der EU vor unrechtmäßigem Zugriff durch Behörden aus Drittstaaten zu schützen. Gleichzeitig fördert sie die Entwicklung von Interoperabilitätsstandards, um den Datenaustausch zwischen verschiedenen Systemen und Diensten zu erleichtern.

Das komplexe Zusammenspiel: Abgrenzung und Synergien mit Schlüsselverordnungen

Der Data Act existiert nicht im luftleeren Raum, sondern ist eng mit anderen zentralen EU-Regulierungen verwoben. Das Verständnis dieser Wechselwirkungen ist für eine erfolgreiche Compliance-Strategie unerlässlich.

Data Act vs. DSGVO

Der Data Act erstreckt sich sowohl auf personenbezogene als auch auf nicht-personenbezogene Daten. Im Falle personenbezogener Daten behält die Datenschutz-Grundverordnung (DSGVO) stets Vorrang. Der Data Act ergänzt die DSGVO, indem er das Recht auf Datenportabilität auf nicht-personenbezogene IoT-Daten ausweitet.

Wichtig: Wenn ein Nutzer die Weitergabe personenbezogener Daten an einen Dritten verlangt, muss hierfür eine gültige Rechtsgrundlage nach DSGVO, wie beispielsweise eine explizite Einwilligung des Betroffenen, vorliegen.

Data Act, NIS2 und DORA

Diese drei Rechtsakte bilden ein eng verzahntes Sicherheitsnetz. Die NIS2-Richtlinie (EU) 2022/2555 legt allgemeine Mindeststandards für die Cybersicherheit in kritischen Sektoren fest. Die DORA-Verordnung (EU) 2022/2554 fungiert als lex specialis für den Finanzsektor und hat dort Vorrang vor NIS2.

Der Data Act schafft nun neue, gesetzlich vorgeschriebene Datenflüsse und Schnittstellen. Diese neuen Zugangspunkte erhöhen die Angriffsfläche eines Unternehmens und fallen direkt unter die Sicherheits- und Risikomanagementanforderungen von NIS2 und DORA. Cybersicherheit, Interoperabilität und Datenportabilität werden somit zu untrennbaren, voneinander abhängigen Disziplinen.

Integrierter Compliance-Ansatz erforderlich

Dieses komplexe regulatorische Umfeld erfordert einen integrierten Compliance-Ansatz. Die Vorstellung, diese Verordnungen isoliert voneinander behandeln zu können, ist ein Trugschluss. Eine einzelne Compliance-Maßnahme, wie die Einrichtung einer neuen API zur Erfüllung der Data-Act-Pflichten, muss gleichzeitig den Zugangsregeln des Data Act, den Sicherheitsanforderungen von NIS2/DORA/CRA, den Datenschutzprinzipien der DSGVO und den vertragsrechtlichen Vorgaben genügen. Dies erzwingt eine enge, prozessintegrierte Zusammenarbeit zwischen CISO, CIO, Datenschutzbeauftragtem (DPO) und der Rechtsabteilung von Beginn eines Projektes an.

Synoptischer Vergleich der EU-Digitalregulierungen

Merkmal	Data Act	DSGVO	NIS2	DORA
Hauptziel	Fairness im Datenzugang, Förderung der Datenwirtschaft, Aufbrechen von Datensilos	Schutz der Grundrechte und -freiheiten natürlicher Personen	Hohes gemeinsames Cybersicherheitsniveau in kritischen Sektoren	Digitale operationale Resilienz des Finanzsektors
Anwendungsbereich	Daten aus vernetzten Produkten & Diensten (IoT)	Verarbeitung personenbezogener Daten	Netz- und Informationssysteme in 18 Sektoren	IKT-Systeme im Finanzsektor
Zentrale Verpflichtung	Datenzugang gewähren, faire Verträge, Cloud-Wechsel ermöglichen	Rechtmäßige, faire Verarbeitung, Betroffenenrechte	Risikomanagement, Meldepflichten bei Vorfällen	IKT-Risikomanagement, Incident-Reporting, Resilienz-Tests
Sanktionsrahmen	Festlegung durch Mitgliedstaaten (wirksam, verhältnismäßig, abschreckend)	Bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes	Bis zu 10 Mio. € oder 2 % des Jahresumsatzes (wesentliche Einrichtungen)	Festlegung durch Mitgliedstaaten (wirksam, verhältnismäßig, abschreckend)

3. Compliance-Anforderungen: Eine detaillierte Analyse der Unternehmenspflichten

Pflichten für Dateninhaber und Hersteller

Hersteller vernetzter Produkte und Anbieter verbundener Dienste, die als Dateninhaber agieren, stehen im Zentrum der neuen Verpflichtungen:

Vorvertragliche Transparenz

Bereits vor Abschluss eines Kauf-, Miet- oder Leasingvertrags müssen Unternehmen die Nutzer klar und verständlich über die generierten Daten informieren. Dazu gehören Angaben über Art, Umfang und voraussichtliches Volumen der Daten, die Absicht der Nutzung durch den Dateninhaber sowie die Modalitäten des Datenzugangs.

"Access by Design"

Für alle vernetzten Produkte, die nach dem 12. September 2026 auf den EU-Markt gebracht werden, muss der direkte und einfache Datenzugang für den Nutzer bereits im Produktdesign verankert sein. Diese Pflicht erfordert eine frühzeitige Integration rechtlicher und technischer Anforderungen in den Forschungs- und Entwicklungsprozess.

Datenbereitstellung auf Anfrage

Für bereits im Verkehr befindliche Produkte müssen Dateninhaber auf Anfrage des Nutzers die Daten "unverzüglich" bereitstellen. Wo es technisch machbar und sinnvoll ist, hat diese Bereitstellung kontinuierlich und in Echtzeit zu erfolgen.

Technische Anforderungen

Die bereitzustellenden Daten müssen in einem strukturierten, gängigen und maschinenlesbaren Format (z.B. JSON, CSV) übermittelt werden. Entscheidend ist auch die Mitlieferung der notwendigen Metadaten, die zur Interpretation der Rohdaten erforderlich sind.

Wichtige Änderung: Eigene Datennutzung

Dateninhaber dürfen die generierten nicht-personenbezogenen Daten nur noch dann für eigene Zwecke nutzen, wenn dies vertraglich mit dem Nutzer vereinbart wurde. Dies beendet die bisherige Praxis der einseitigen Datennutzung und erfordert explizite Datenlizenzverträge.

Anforderungen an Cloud-Anbieter

Anbieter von Datenverarbeitungsdiensten (Cloud- und Edge-Anbieter) müssen den Wechsel (Switching) zu einem anderen Anbieter derselben Dienstart aktiv fördern. Dies umfasst vertragliche, technische und organisatorische Maßnahmen, um Hindernisse zu beseitigen und einen reibungslosen Übergang zu gewährleisten. Ein zentrales Element ist die schrittweise Abschaffung von Wechselgebühren, die ab dem 12. Januar 2027 vollständig verboten sind. Zudem müssen sie an der Entwicklung und Einhaltung europäischer Interoperabilitätsstandards mitwirken, um die Datenportabilität in der Praxis zu ermöglichen.

Verbot missbräuchlicher Vertragsklauseln im B2B-Verkehr

Artikel 13 des Data Act greift tief in die Vertragsfreiheit im B2B-Bereich ein. Einseitig auferlegte Vertragsklauseln, die als missbräuchlich gelten, sind unwirksam. Dies zielt insbesondere auf den Schutz von KMU vor der Marktmacht großer Vertragspartner ab. Als missbräuchlich gelten beispielsweise Klauseln, die die Haftung des Verwenders für grobe Fahrlässigkeit ausschließen oder ihm einseitige Rechte zur Vertragsauslegung einräumen. Diese Regelung ist besonders brisant, da sie ab dem 12. September 2027 auch für viele unbefristete oder langfristige Altverträge gilt, was eine umfassende Überprüfung bestehender Vertragsverhältnisse erforderlich macht.

Rollen und Verantwortlichkeiten im Unternehmen

CISO Chief Information Security Officer

Verantwortung erweitert sich auf die Absicherung eines komplexen Ökosystems von Datenflüssen. Muss Sicherheit der neuen APIs gewährleisten, robuste IAM-Prozesse implementieren und Risiken durch Datenweitergabe an Dritte bewerten.

CIO Chief Information Officer

Trägt Hauptverantwortung für technische Umsetzung: Anpassung der Systemarchitektur, API-Design und -Bereitstellung, Integration in bestehende IT-Landschaften sowie Etablierung solider Data Governance für Dateninventur und -klassifizierung.

Legal Rechts- & Compliance

Zuständig für rechtliche Absicherung: Überprüfung und Anpassung aller relevanten Verträge (AGB, Lieferverträge, Datenlizenzverträge), Sicherstellung der Transparenzpflichten und Strategien zum Schutz von Geschäftsgeheimnissen.

4. Praktische Implementierung der Compliance: Eine Roadmap für Unternehmen

Eine strukturierte und proaktive Herangehensweise ist entscheidend, um die Anforderungen des Data Act fristgerecht und effizient umzusetzen. Die verbleibende Zeit bis September 2025 ist angesichts der Komplexität der Aufgaben äußerst knapp.

Phase 1: Analyse und Planung (bis Q1 2025)

1 Aufbau eines interdisziplinären Projektteams

Der erste und wichtigste Schritt ist die Bildung eines zentralen Projektteams mit Vertretern aus IT, Recht, Datenschutz, Produktmanagement, F&E und Einkauf, unterstützt durch ein klares Mandat des C-Levels. Dieser Ansatz ist unerlässlich, um organisatorische Silos aufzubrechen und eine ganzheitliche Strategie zu gewährleisten.

2 Dateninventur und Klassifizierung

Es muss eine umfassende Bestandsaufnahme aller vom Data Act betroffenen vernetzten Produkte und Dienste erfolgen. Darauf aufbauend ist eine detaillierte Inventur der generierten Daten durchzuführen: Welche Daten fallen an? Wo werden sie gespeichert? Sind sie personenbezogen oder nicht-personenbezogen? Enthalten sie sensible Informationen oder Geschäftsgeheimnisse? Diese Inventur ist die unverzichtbare Grundlage für alle weiteren Schritte.

3 Gap-Analyse

Auf Basis der Inventur ist eine systematische Lückenanalyse durchzuführen. Hierbei wird der Ist-Zustand der technischen Systeme (z.B. vorhandene Schnittstellen), der vertraglichen Grundlagen und der internen Prozesse mit den Soll-Anforderungen des Data Act verglichen.

Phase 2: Konzeption und Umsetzung (bis Q3 2025)

Technische Infrastruktur

Basierend auf der Gap-Analyse müssen die technischen Lösungen konzipiert und implementiert werden. Dies umfasst primär die Entwicklung sicherer und standardisierter APIs für den Datenzugang sowie den Aufbau von Logging- und Audit-Mechanismen.

Vertragsmanagement

Die Rechtsabteilung muss in enger Abstimmung mit den Fachbereichen alle relevanten Vertragsdokumente überarbeiten. Missbräuchliche Klauseln müssen entfernt und die neuen Rechte und Pflichten zum Datenzugang klar geregelt werden.

Prozessdefinition

Es müssen klare, standardisierte interne Prozesse für die Bearbeitung von Datenzugriffs- und Weitergabeanfragen etabliert werden. Dies schließt die Definition von Verantwortlichkeiten, Bearbeitungsfristen und Eskalationspfaden ein.

Mitarbeiterschulung

Relevante Mitarbeiter in den betroffenen Abteilungen müssen über die neuen rechtlichen Anforderungen und die internen Prozesse geschult werden, um eine konsistente und korrekte Umsetzung sicherzustellen.

Fallstudie: Erfolgreiche Vorbereitung in der Automobilindustrie

Die Automobilindustrie ist durch hochvernetzte Fahrzeuge ein Paradebeispiel für die tiefgreifenden Auswirkungen des Data Act. Ein fiktiver Automobilhersteller, die "AutoTech GmbH", illustriert einen proaktiven Ansatz:

Analyse

AutoTech initiiert ein Data-Act-Programm und kartiert zunächst alle im Fahrzeug anfallenden Datenpunkte. Diese Daten werden klassifiziert nach ihrer Relevanz für den Nutzer, ihrer Sensitivität und ob sie Geschäftsgeheimnisse darstellen.

Technik

Das IT- und F&E-Team entwickelt eine standardisierte "Vehicle-API". Über diese Schnittstelle können Fahrzeughalter und von ihnen autorisierte Dritte auf definierte Datensätze zugreifen. Der Zugriff wird durch ein mehrstufiges Sicherheitskonzept geschützt.

Recht & Business

AutoTech implementiert ein Online-Portal, in dem Fahrzeughalter ihre Datenfreigaben granular verwalten können. Die Verträge enthalten klare Klauseln, die die Nutzung der Daten auf den vereinbarten Zweck beschränken.

Strategischer Nutzen

Statt die API nur als Compliance-Last zu sehen, nutzt AutoTech sie strategisch, um ein Ökosystem für neue Dienstleistungen zu schaffen. So wandelt das Unternehmen die regulatorische Pflicht in einen Wettbewerbsvorteil.

Zeitplan und Meilensteine zur Data Act-Compliance

Phase	Zeitfenster	Hauptaufgaben	Verantwortliche
1. Analyse	Bis Q1 2025	Projektteam bilden; Produkt- & Dateninventur; Gap-Analyse	CIO, Legal, CPO
2. Konzeption	Bis Q3 2025	Technisches Konzept für APIs finalisieren; Vertrags-Review; Prozessdesign	IT-Architektur, Legal, Compliance
3. Implementierung	Q3 2024 - Q2 2025	API-Entwicklung & -Test; Vertragsanpassungen; Mitarbeiterschulungen	IT-Development, Einkauf, Legal, HR
4. Go-Live	Ab 12.09.2025	Betrieb der Schnittstellen; Monitoring & Reporting; Prozessoptimierung	IT-Operations, Compliance

Kritischer Zeitfaktor

Die tiefgreifenden und zeitaufwändigen Anpassungen in IT-Systemen, Produktentwicklung und Vertragslandschaften machen deutlich, dass Prokrastination das größte Risiko darstellt. Die Frist im September 2025 ist ein harter Stichtag für die wesentlichen Pflichten. Unternehmen, die auf "mehr Klarheit" warten, riskieren nicht nur empfindliche Bußgelder, sondern auch den Verlust ihrer Wettbewerbsfähigkeit in einer sich schnell wandelnden Datenökonomie. Sofortiges, proaktives Handeln ist daher eine strategische Notwendigkeit.

5. Risikomanagement und strategische Herausforderungen

Die Implementierung des Data Act birgt neben den Chancen auch erhebliche Risiken, die ein proaktives Management erfordern.

Das Spannungsfeld: Wahrung von Geschäftsgeheimnissen vs. Datenzugangspflichten

Eine der größten Sorgen für Unternehmen ist die potenzielle Gefährdung von Geschäftsgeheimnissen. Der Data Act erkennt deren Schutz an, setzt jedoch sehr hohe Hürden für eine Verweigerung des Datenzugangs.

Schutzmaßnahmen als Regel

Bevor Daten, die Geschäftsgeheimnisse enthalten, an einen Dritten weitergegeben werden, müssen alle notwendigen technischen und organisatorischen Maßnahmen zum Schutz der Vertraulichkeit vereinbart und umgesetzt werden. Dies kann von strengen Vertraulichkeitsvereinbarungen (NDAs) über technische Zugriffskontrollen bis hin zu sicheren Datenräumen reichen.

Verweigerung als Ausnahme

Eine vollständige Verweigerung des Datenzugangs ist nur als letztes Mittel (ultima ratio) zulässig. Der Dateninhaber muss nachweisen können, dass trotz aller ergriffenen Schutzmaßnahmen mit "hoher Wahrscheinlichkeit" ein "schwerer wirtschaftlicher Schaden" durch die Offenlegung droht. Die Beweislast liegt vollständig beim Dateninhaber. Jede Verweigerung muss zudem der zuständigen nationalen Aufsichtsbehörde gemeldet werden.

Strategischer Ansatz erforderlich: Diese Regelung erfordert einen Paradigmenwechsel: Statt den Zugang pauschal zu verweigern, müssen Unternehmen eine differenzierte, mehrstufige Strategie entwickeln. Diese beginnt mit der Identifizierung der wirklich kritischen Geschäftsgeheimnisse ("Kronjuwelen"), gefolgt von der Definition eines Katalogs von Schutzmaßnahmen, die Datenempfängern standardmäßig angeboten werden.

Cybersicherheitsrisiken durch erweiterte Datenweitergabe

Die gesetzlich vorgeschriebene Öffnung von Systemen durch APIs und die Weitergabe von Daten an eine Vielzahl von Dritten schaffen neue Angriffsvektoren und erhöhen die Komplexität des Sicherheitsmanagements signifikant.

Primäre Risiken

Kompromittierung von APIs
Datenlecks bei Datenempfängern
Missbrauch von Daten zur Entwicklung von Konkurrenzprodukten

Mitigierende Kontrollen

Modernste API-Sicherheitsmaßnahmen
Systematisches Third-Party Risk Management
Data Loss Prevention (DLP)-Systeme
Kontinuierliches Monitoring externer Datenflüsse

Operative und finanzielle Risiken

Implementierungskosten

Die Umsetzung des Data Act ist mit erheblichen Investitionen in IT-Infrastruktur, die Anpassung von Produkten, Personalressourcen und externe Rechts- und Technologieberatung verbunden.

Sanktionen

Verstöße gegen den Data Act werden von den Mitgliedstaaten mit Sanktionen geahndet, die "wirksam, verhältnismäßig und abschreckend" sein müssen. Die genaue Höhe wird national festgelegt, orientiert sich aber voraussichtlich an der DSGVO (bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes).

Management-Haftung

Analog zu den Regelungen in NIS2 und DORA ist es wahrscheinlich, dass nationale Umsetzungsgesetze eine persönliche Haftung der Geschäftsleitung bei grober Fahrlässigkeit oder Vorsatz vorsehen werden.

6. Zukünftige Entwicklungen: Der Data Act als Katalysator für die IT-Governance

Der Data Act ist nicht nur eine Momentaufnahme, sondern der Katalysator für eine langfristige Transformation der europäischen Datenwirtschaft und der zugrundeliegenden IT-Governance-Modelle.

Prognose: Die Evolution der Datenökonomie

Der Data Act und sein Schwestergesetz, der Data Governance Act, sind die rechtlichen Wegbereiter für die von der EU-Kommission angestrebten "Common European Data Spaces". Dies sind föderierte, dezentrale Datenökosysteme für strategische Sektoren wie Gesundheit, Mobilität, Energie oder Fertigung. Unternehmen werden sich von der Logik geschlossener, proprietärer Systeme und Datensilos verabschieden und Strategien für die aktive Teilnahme an diesen offenen, aber vertrauenswürdigen und regelbasierten Datenökosystemen entwickeln müssen.

Der Einfluss auf zukünftige IT-Governance-Modelle

Traditionelle IT-Governance-Modelle, die auf zentraler Kontrolle, Abschottung und Datenspeicherung im eigenen "Hoheitsgebiet" basieren, werden an ihre Grenzen stoßen. Zukünftige Modelle müssen föderierte Strukturen unterstützen, in denen Daten sicher und nach klar definierten Regeln zwischen verschiedenen souveränen Akteuren ausgetauscht werden können.

Architekturelle Konzepte wie "Data Mesh", die auf dezentraler Datenverantwortung und Daten als Produkt setzen, könnten hier an Bedeutung gewinnen. Die Rolle der IT-Governance verschiebt sich von der reinen "Kontrolle" hin zur "Befähigung" (Enabling) des sicheren, konformen und wertschöpfenden Datenaustauschs.

Trendanalyse: Die Konvergenz von Datenschutz, Cybersicherheit und Datenverfügbarkeit

Datenschutz

DSGVO als Grundpfeiler für den Schutz personenbezogener Daten

Cybersicherheit

NIS2, DORA, CRA als Sicherheitsrahmen für vernetzte Systeme

Datenverfügbarkeit

Data Act als Enabler für offene, regelbasierte Datenökosysteme

Die Zukunft der IT-Governance liegt in einem integrierten Ansatz, der diese drei Säulen als untrennbare Einheit betrachtet. Compliance wird dabei zunehmend von einer reinen Kostenstelle zu einem strategischen Asset und einem Wettbewerbsvorteil ("Compliance as a competitive differentiator"). Unternehmen, die eine transparente, sichere und faire Data Governance etablieren, bauen Vertrauen bei Kunden und Partnern auf und positionieren sich als bevorzugte Akteure in den neuen Datenökosystemen.

Die Transformation zur API-Ökonomie

Die gesetzlich erzwungene Öffnung von Datenschnittstellen markiert den Beginn einer langfristigen Transformation hin zu einer "API-Ökonomie".

Die Verpflichtung, Daten über standardisierte Schnittstellen (APIs) bereitzustellen, schafft einen Markt, auf dem Drittanbieter neue, innovative Dienstleistungen entwickeln können. Hersteller von physischen Produkten werden somit zwangsläufig auch zu Anbietern von Datenplattformen. Der Wettbewerb wird sich nicht mehr nur auf das Produkt selbst konzentrieren, sondern auch auf die Qualität, Zuverlässigkeit und den Funktionsumfang der bereitgestellten Daten und APIs. Langfristig ist eine durchdachte API-Strategie für Unternehmen unerlässlich, um in diesem neuen Ökosystem relevant zu bleiben und die Wertschöpfung nicht vollständig an Dritte zu verlieren.

7. Fazit: Handlungsempfehlungen für eine proaktive Compliance-Strategie

Der EU Data Act ist eine der transformativsten Regulierungen der letzten Jahre. Eine erfolgreiche Anpassung erfordert eine strategische, unternehmensweite Anstrengung, die weit über eine rein juristische oder technische Übung hinausgeht.

Zusammenfassung der kritischen Erfolgsfaktoren

C-Level-Verantwortung

Die Compliance mit dem Data Act ist eine strategische Unternehmensaufgabe, die im Vorstand verankert sein und von dort aus gesteuert werden muss. Sie ist kein reines IT- oder Rechtsthema.

Interdisziplinäre Zusammenarbeit

Der Erfolg des Umsetzungsprojekts hängt entscheidend davon ab, ob es gelingt, die Silos zwischen IT, Recht, Produktentwicklung, F&E und den Geschäftsbereichen aufzubrechen.

Proaktiver Ansatz

Die Komplexität der Anforderungen und die knappe Frist bis September 2025 lassen keinen Raum für eine abwartende Haltung. Unternehmen müssen jetzt handeln.

Integrierte Governance

Die Compliance-Strategie muss ganzheitlich sein und die vielfältigen Wechselwirkungen mit DSGVO, NIS2, DORA und anderen relevanten Regulierungen von Anfang an berücksichtigen.

Spezifische Empfehlungen für die Zielgruppen

Für den CISO

Entwickeln Sie eine "Secure Data Sharing"-Strategie, die über den traditionellen Perimeterschutz hinausgeht. Fokussieren Sie sich auf API-Sicherheit, ein robustes Third-Party-Risk-Management und die lückenlose Überwachung externer Datenflüsse. Positionieren Sie die Sicherheit als Befähiger für neue, datengetriebene Geschäftsmodelle, nicht als deren Bremser.

Für den CIO

Treiben Sie die Etablierung einer robusten, unternehmensweiten Data Governance als Fundament für alle weiteren Maßnahmen voran. Priorisieren Sie die Entwicklung einer flexiblen, skalierbaren und sicheren IT-Architektur, die den neuen Anforderungen an Datenzugang, Portabilität und Interoperabilität gerecht wird.

Für die Rechts- und Compliance-Abteilung

Führen Sie eine umfassende Revision der gesamten Vertragslandschaft durch. Entwickeln Sie eine klare, rechtlich haltbare und prozessual verankerte Strategie zum Schutz von Geschäftsgeheimnissen, die auf einem mehrstufigen Ansatz aus vertraglichen, technischen und organisatorischen Maßnahmen basiert.

Abschließende Betrachtung

Den Data Act als strategischen Hebel für Innovation und digitale Transformation nutzen

Unternehmen stehen vor der Wahl: Sie können den Data Act als eine weitere regulatorische Belastung betrachten und das absolute Minimum zur Schadensbegrenzung tun. Oder sie können ihn als den entscheidenden Katalysator begreifen, um die eigene Datenstrategie zu schärfen, die Data Governance zu professionalisieren und das Unternehmen zukunftsfähig aufzustellen. Die durch den Data Act geschaffene Transparenz und Datenverfügbarkeit ist die Grundlage für effizientere Prozesse, intelligentere Produkte und völlig neue, datengetriebene Geschäftsmodelle und Ökosystem-Partnerschaften. Der Countdown bis zum 12. September 2025 läuft – es ist Zeit zu handeln.

EU Data Act Compliance: Leitfaden für KMU