Seit dem 12. September 2025 gilt der neue „Data Act“ in der EU. Er soll nicht-personenbezogene Daten aus vernetzten Produkten leichter zugänglich machen, Cloud-Wechsel praktikabel gestalten und unfairen Vertragsklauseln einen Riegel vorschieben. Für personenbezogene Daten bleibt die DSGVO daneben maßgeblich.
Regelungen des Data Act
Seit dem 12. September 2025 haben Nutzer vernetzter Produkte – im B2C-, als auch im B2B-Bereich – einen Anspruch auf die bei der Nutzung entstehenden (nicht personenbezogenen) Produkt- und Dienstdaten. Betroffen sind Roh- und Nutzungsdaten (z. B. Messwerte, Zustände, einfache Protokolle), nicht jedoch weitergehende Analysen oder abgeleitete Auswertungen. Diese Daten müssen zügig, unentgeltlich und in einem gängigen, maschinenlesbaren Format bereitgestellt werden. Ab dem 12. September 2026 müssen neue vernetzte Produkte und verbundene Dienste den Direktzugriff „ab Werk“ technisch ermöglichen und transparent erläutern, welche Daten anfallen, wie darauf zugegriffen wird und in welcher Art und Weise. Führt die Offenlegung zu einem schweren unternehmerischen Schaden, darf die Herausgabe verweigert werden. Sobald personenbezogene Daten betroffen sind, gilt zusätzlich die DSGVO.
Cloud-Wechsel ohne Reibungsverluste
Neue Regelungen gibt es auch für den Wechsel von Cloud-Diensten: Der Anbieterwechsel darf nicht mehr an versteckten Hürden oder Intransparenz scheitern. Verträge sollen klare Exit-Regeln enthalten, etwa wie lange die Übergabe dauert, in welchem Format Daten und Konfigurationen exportiert werden und wie Datensicherheit sowie Geschäftskontinuität während der Migration gewährleistet werden. Nach dem Wechsel müssen die Daten noch für einen angemessenen Zeitraum abrufbar bleiben. Wechselentgelte sind ab dem 12. Januar 2027 verboten.
Faire Verträge
Neu ist eine Missbrauchskontrolle für B2B-Klauseln rund um Datenzugang, Datennutzung, Haftung und Rechtsbehelfe. Einseitig aufgezwungene, grob unausgewogene Bedingungen sind unwirksam. Dazu zählen etwa faktische Kündigungssperren, einseitige Preis- oder Formatänderungen ohne Ausstiegsmöglichkeit oder die Verweigerung einer Datenkopie nach Vertragsende.
So setzen Sie die Vorgaben im Mittelstand um
- Starten Sie mit einer schlanken Bestandsaufnahme: Welche vernetzten Produkte und Dienste setzen Sie ein, welche Daten fallen konkret an und in welcher Rolle. Halten Sie je Produkt oder Dienst fest, welche Daten heute schon exportierbar sein sollten und in welchem Format.
- Benennen Sie eine verantwortliche Person, die IT, Recht, Einkauf und Fachbereich zusammenführt. Die Person sollte Cloud-Verträge mit Laufzeit, Exit-Optionen und technischem Exportpfad prüfen.
- Updaten Sie als Anbieter Ihre Verträge. Verankern Sie verständliche Exit-Regeln, realistische Fristen, klare Aufgabenverteilung, Exportformate und Löschkonzepte.
- Berücksichtigen Sie den Datenschutz: Wo personenbezogene Daten im Spiel sind, ziehen Sie die DSGVO-Vorgaben heran. Technische und organisatorische Schutzmaßnahmen – von Zugriffsrechten bis Verschlüsselung – müssen vorgesehen werden.
- Dokumentieren Sie Schnittstellen, definieren Sie Exportpfade für Daten und notwendige „digitale Assets“ und testen Sie den Export einmal in einer sicheren Umgebung.
- Denken Sie neue Produkte rechtzeitig nach dem Prinzip „Access by Design“. Ab dem 12. September 2026 muss Nutzern erläutert werden, welche Daten anfallen und wie sie darauf zugreifen.
- Schulen Sie teamspezifisch. Ihr Einkauf braucht klare Prüfpunkte für Ausschreibungen, die IT ein umsetzbares Export-Verfahren und Vertrieb und Service belastbare Aussagen gegenüber Kunden.
Fazit
Der Data Act ist kein IT-Nischenthema, sondern bringt relevante Änderungen mit sich: Seit dem 12. September 2025 gelten neue Rechte und Pflichten zum Datenzugang, zur Fairness von B2B-Vertragsklauseln und zum Cloud-Wechsel. Ab dem 12. September 2026 kommen produktbezogene „Access by Design“-Anforderungen hinzu.
Wer jetzt erforderliche Maßnahmen klärt, Verträge aufräumt und einen funktionierenden Exportpfad etabliert, setzt früh die gesetzlichen Vorgaben um – und schafft Raum für neue, datengetriebene Angebote.
