Die europäische Wirtschaft hat einen tiefgreifenden Wandel vollzogen. Mit dem EU Data Act (Datenverordnung) wurde ein umfassender regulatorischer Rahmen geschaffen, der den Umgang mit maschinell erzeugten Daten („IoT-Daten“) in der Europäischen Union neu definiert hat. Dies betrifft heute nicht mehr nur Digitalkonzerne, sondern den klassischen deutschen Mittelstand: Maschinenbauer, Medizintechnik-Hersteller und Automobilzulieferer.
Für Geschäftsführer und Führungskräfte ist es entscheidend, diese Realität nicht als reine Bürokratie zu verstehen, sondern als festen Bestandteil der Marktmechanismen. Seit September 2025 sind die Kernpflichten verbindlich – wer seine Verträge und Technik noch nicht angepasst hat, spürt bereits Wettbewerbsnachteile und riskiert Bußgelder.
Der Paradigmenwechsel: Vom Besitz zum Zugang
Während die DSGVO primär den Schutz der Privatsphäre im Fokus hatte, zielt der EU Data Act aggressiv auf die Demokratisierung von Industriedaten ab. Das historische Prinzip der faktischen Datenhoheit durch den Hersteller wird gesetzlich aufgebrochen.
Früher: Das Datenmonopol („Vendor Lock-in“)
Jahrzehntelang galt das ungeschriebene Gesetz: Wer die Maschine baut, besitzt auch die Daten. Hersteller nutzten ihre technische Kontrolle über Sensoren und Software, um Kunden in geschlossenen Ökosystemen zu halten.
- Exklusive Wartung: Nur der Hersteller hatte Zugriff auf Fehlerprotokolle.
- Keine Transparenz: Der Kunde wusste oft nicht, welche Daten sein Gerät überhaupt sendet.
- Wettbewerbsschutz: Drittanbieter wurden technisch ausgesperrt.
Heute: Data Access by Design & Default
Der Nutzer (User) eines vernetzten Produkts wird zum rechtlichen Herrscher über die Daten, die durch seine Nutzung entstehen. Hersteller müssen Produkte so designen, dass Datenzugang standardmäßig möglich ist.
- Rechtsanspruch: Nutzer können die Herausgabe der Rohdaten verlangen – kostenlos und zeitnah.
- Interoperabilität: Daten müssen in gängigen Formaten bereitgestellt werden.
- Marktöffnung: Nutzer dürfen Daten an günstigere Drittanbieter weitergeben.
Existenzielle Risiken für Service- & Wartungsmodelle
Bedrohung traditioneller After-Sales-UmsätzeDie Datenweitergabe an Dritte bricht Monopole auf. Nach Artikel 5 des Data Act muss der Dateninhaber (Hersteller) die Daten auf Wunsch des Nutzers direkt an einen Dritten übermitteln. Dies kann eine freie Reparaturwerkstatt, ein Versicherer oder ein Analyse-Start-up sein.
Gefahr: Reverse Engineering
Zwar verbietet der Data Act die Nutzung der Daten, um ein direkt konkurrierendes Produkt zu entwickeln, doch die Abgrenzung ist in der Praxis schwierig. Sobald Konstruktionsdaten oder präzise Sensorwerte offenliegen, wird das Nachbauen von Ersatzteilen oder Komponenten für Wettbewerber deutlich einfacher.
Konflikt: Geschäftsgeheimnisse
Hersteller können die Herausgabe verweigern, wenn dadurch Geschäftsgeheimnisse offenbart würden. Doch die Beweislast liegt beim Hersteller. Sie müssen im Vorfeld genau definieren und technisch markieren, welche Datensätze geschützt sind. Ein pauschales „Alles ist geheim“ wird rechtlich nicht halten.
Der rechtliche Spagat: Zwischen DSGVO und Data Act
Mittelständische Unternehmen befinden sich in einem regulatorischen „Sandwich“. Zwei mächtige EU-Verordnungen stellen scheinbar widersprüchliche Anforderungen an dieselben Datensätze.
EU Data Act
„Daten müssen fließen“
Der Fokus liegt auf der wirtschaftlichen Verwertbarkeit von Sachdaten (Maschinendaten). Ziel ist Innovation durch Datenteilung. Unternehmen werden zur Offenheit gezwungen und müssen Schnittstellen schaffen, die Datenexporte so einfach wie möglich machen.
UNTERNEHMEN
DSGVO
„Daten müssen geschützt werden“
Der Fokus liegt auf dem Schutz von Personen. Grundprinzipien sind Datensparsamkeit und Zweckbindung. Personenbezogene Daten dürfen oft nicht ohne Weiteres geteilt werden, was im direkten Konflikt zur Weitergabepflicht steht.
Das Praxis-Problem „Gemischte Daten“: In der Realität sind Maschinendaten oft untrennbar mit Personen verknüpft (z.B. Telematikdaten eines LKW, die das Fahrverhalten des Fahrers zeigen, oder Login-Zeiten an einer CNC-Maschine). Wenn ein Unternehmenskunde diese Daten anfordert (Data Act), müssen Sie sicherstellen, dass die Rechte Ihrer eigenen Mitarbeiter oder die des Fahrers (DSGVO) nicht verletzt werden. Hier drohen massive Compliance-Fallen ohne saubere Anonymisierungskonzepte.
Strategische Neuausrichtung: Ihre Roadmap zur Compliance
Der EU Data Act ist komplex, aber beherrschbar. Wer jetzt handelt, kann die Regulatorik nutzen, um seine Prozesse zu professionalisieren. Wir empfehlen folgenden 4-Schritte-Plan:
Produkt- & Service-Screening
Analysieren Sie Ihr Portfolio: Welche Produkte gelten als „vernetzte Produkte“? Fallen auch Ihre digitalen Assistenten oder Cloud-Dienste darunter? Nicht nur die Hardware, auch die „verbundenen Dienste“ sind reguliert. Erstellen Sie ein Inventar aller betroffenen Datenströme.
Technischer Realitätscheck
Der Gesetzgeber fordert einen „einfachen, sicheren und direkten“ Zugang. Verfügen Ihre Systeme über Export-APIs? Liegen Daten in proprietären Formaten vor, die kein Dritter lesen kann? Sie müssen technische Hürden abbauen, bevor die erste Kundenanfrage kommt.
Vertrags-Update (AGB & B2B)
Viele Ihrer aktuellen AGB-Klauseln zur Datennutzung sind wahrscheinlich bald unwirksam. Einseitige Rechtevorbehalte („Alle Daten gehören uns“) verstoßen gegen Artikel 13 (missbräuchliche Klauseln). Überarbeiten Sie Lizenz- und Wartungsverträge dringend mit juristischer Hilfe.
Defensiver IP-Schutz
Sie müssen proaktiv definieren, was KEINE Nutzungsdaten sind. Identifizieren Sie Algorithmen, proprietäre Software-Codes und interne Prozessdaten. Schützen Sie diese Bereiche technisch (Verschlüsselung) und rechtlich, um die Herausgabe im Ernstfall verweigern zu können.
Häufig gestellte Fragen (FAQ) zum EU Data Act
Ab wann gilt der EU Data Act und gibt es Übergangsfristen?
Der EU Data Act ist am 11. Januar 2024 in Kraft getreten. Die Anwendbarkeit erfolgt stufenweise. Die wichtigste Frist für die Industrie ist der 12. September 2025. Ab diesem Tag gelten die meisten Verpflichtungen zum Datenzugang (Kapitel II) verbindlich. Für Produkte, die bereits vor diesem Datum auf dem Markt waren, gelten teils längere Fristen (bis zu 5 Jahren für bestimmte Design-Requirements), aber für neu in Verkehr gebrachte Produkte müssen die Anforderungen sofort umgesetzt werden. Unternehmen sollten den Zeitraum bis September 2025 intensiv für die Umstellung nutzen.
Gilt der Data Act nur für personenbezogene Daten oder auch für Maschinendaten?
Das ist der entscheidende Unterschied zur DSGVO: Der Data Act gilt für alle Daten, die durch die Nutzung eines vernetzten Produkts oder verbundenen Dienstes erzeugt werden. Dies umfasst explizit nicht-personenbezogene industrielle Daten (z.B. Temperaturverläufe, Verschleißdaten, Produktionszyklen). Der Gesetzgeber will den wirtschaftlichen Wert dieser Daten erschließen. Wenn Daten jedoch Personenbezug haben (Mixed Data), gilt zusätzlich weiterhin die DSGVO, was die Umsetzung in der Praxis (siehe Abschnitt „Rechtlicher Spagat“) deutlich komplizierter macht.
Müssen wir unsere bestehenden Wartungs- und Lizenzverträge anpassen?
Ja, mit sehr hoher Wahrscheinlichkeit. Artikel 13 des Data Act enthält eine „Blacklist“ missbräuchlicher Vertragsklauseln, die einseitig zum Nachteil von KMU formuliert sind. Klauseln, die dem Hersteller das alleinige und exklusive Nutzungsrecht an generierten Daten zusichern, werden vielfach unwirksam sein. Auch Regelungen, die dem Kunden den Zugang zu seinen eigenen Daten erschweren oder unverhältnismäßig verteuern, sind angreifbar. Eine juristische Prüfung des gesamten Vertragswerks (B2B und B2C) ist daher unerlässlich.
Wie können wir verhindern, dass Wettbewerber unsere Daten nutzen?
Der Data Act enthält Schutzmechanismen, aber diese greifen nicht automatisch. Erstens: Der Empfänger der Daten darf diese laut Gesetz nicht nutzen, um ein Produkt zu entwickeln, das mit Ihrem Produkt in Wettbewerb steht. Zweitens: Sie können die Herausgabe verweigern, wenn dadurch Geschäftsgeheimnisse offengelegt würden. Die Herausforderung liegt jedoch in der Dokumentation und Beweislast. Sie müssen vorab dokumentiert haben, warum bestimmte Daten ein Geschäftsgeheimnis darstellen, und technische Maßnahmen ergriffen haben, um dies zu schützen. Eine pauschale Verweigerung wird vor Gericht keinen Bestand haben.
Welche Unternehmen sind betroffen? Gibt es Ausnahmen für kleine Firmen?
Der Data Act gilt grundsätzlich für Hersteller vernetzter Produkte und Anbieter verbundener Dienste in der EU. Kleinstunternehmen und kleine Unternehmen (weniger als 50 Mitarbeiter und unter 10 Mio. € Jahresumsatz) genießen jedoch ein Privileg: Sie sind von der Pflicht zur Datenbereitstellung (Kapitel II) ausgenommen. Das heißt, sie müssen ihre Produkte nicht zwingend so umbauen, dass Nutzer Daten exportieren können.
Aber Vorsicht – das bedeutet nicht, dass sie „nichts“ beachten müssen:
- Als Nutzer fremder Geräte profitieren sie von den Rechten des Data Acts (sie dürfen Daten einfordern).
- Sie sind durch Regeln gegen missbräuchliche Vertragsklauseln geschützt, wenn sie Verträge mit mächtigeren Partnern schließen.
- Sobald ein Unternehmen jedoch wächst und den Status „mittleres Unternehmen“ (ab 50 MA) erreicht, greift das Gesetz vollumfänglich.
Was bedeutet der Begriff „API“ und warum ist er hier wichtig?
API steht für „Application Programming Interface“ (Schnittstelle zur Anwendungsprogrammierung). Bildlich gesprochen ist es ein digitaler Stecker oder Dolmetscher, der es zwei unterschiedlichen Computerprogrammen ermöglicht, miteinander zu sprechen und Daten auszutauschen.
Im Kontext des EU Data Acts ist die API entscheidend, weil der Gesetzgeber fordert, dass Daten nicht nur manuell (z.B. per USB-Stick), sondern idealerweise kontinuierlich und in Echtzeit verfügbar gemacht werden. Damit eine Maschine ihre Daten direkt an eine Analyse-Software senden kann, ohne dass ein Mensch eingreifen muss, ist eine solche API-Schnittstelle technisch zwingend erforderlich.
