Alle Beiträge
Veröffentlicht: 
08
.
08
.
2025

Data Act einfach erklärt – Was ändert sich ab 2025?

Der EU Data Act ist mehr als nur ein neues Datenschutzgesetz – er verändert die Spielregeln für den Umgang mit industriellen Daten grundlegend.

Mit dem Inkrafttreten des Data Act im September 2025 beginnt eine neue Ära im Umgang mit industriellen Daten: Wer vernetzte Produkte oder digitale Dienste anbietet, muss die dabei entstehenden Nutzungsdaten auf Anfrage bereitstellen – für Kunden, für Drittanbieter, sogar für Behörden und Konkurrenten.

Ziel der Verordnung ist es, den Zugang zu industriellen Daten gerechter zu gestalten – vor allem im B2B-Bereich. Hersteller, Plattformbetreiber und Dateninhaber dürfen nicht mehr allein entscheiden, wer welche Daten sehen darf. Stattdessen regelt der Data Act, wer Anspruch auf welche Daten hat – und unter welchen Bedingungen.

Die Auswirkungen sind enorm:

Plötzlich werden Maschinendaten, Diagnosedaten oder IoT-Sensordaten zu einem rechtlich geregelten Gut. Unternehmen müssen nicht nur technische Zugriffsmöglichkeiten schaffen, sondern auch klar dokumentieren, wer worauf zugreifen darf – und wozu.

Was in der Theorie einfach klingt, bringt in der Praxis viele Fragen mit sich:

  • Welche Produkte und Daten sind betroffen?
  • Was ist mit Geschäftsgeheimnissen oder personenbezogenen Informationen?
  • Wie lassen sich bestehende Prozesse und IT-Strukturen an die Anforderungen anpassen?

Diese Fragen beantworten wir in den kommenden Abschnitten – und zeigen, wie Sie sich auf den Data Act vorbereiten können.

Wer ist betroffen? – Anwendungsbereich des Data Act verstehen

Der Data Act betrifft weit mehr Unternehmen, als viele aktuell vermuten. Während sich ein Teil der Diskussion bislang vor allem auf große Plattformbetreiber konzentrierte, rückt nun ein breiterer Kreis in den Fokus – allen voran Hersteller und Anbieter vernetzter Produkte.

Der Anwendungsbereich des Data Act ist bewusst weit gefasst. Er schließt alle Produkte ein, die bei der Nutzung Daten erzeugen – etwa Maschinen, Fahrzeuge, Medizingeräte oder smarte Haustechnik – sowie die damit verbundenen digitalen Dienste. Entscheidend ist nicht die Unternehmensgröße, sondern die Art der Datennutzung.

Typische betroffene Branchen sind:

  • Maschinen- und Anlagenbau
  • Automobilzulieferung
  • Energie- und Gebäudetechnik
  • MedTech und industrielle IoT-Plattformen

Auch kleinere Anbieter oder spezialisierte Zulieferer können unter die Verordnung fallen – sobald ihre Geräte, Komponenten oder Services Nutzungsdaten erzeugen und an digitale Systeme weiterleiten.

Der aktuelle Stand zum Data Act zeigt: Die meisten technischen Voraussetzungen sind bereits in vielen Unternehmen vorhanden – etwa Sensorik, Cloudanbindung oder API-Schnittstellen. Doch häufig fehlt es an zentraler Steuerung: Daten liegen verstreut in unterschiedlichen Systemen, es gibt keine klare Übersicht über Datenflüsse oder Zugriffsrechte.

Die Herausforderung besteht darin, bestehende Strukturen an die neuen Anforderungen anzupassen – ohne dabei Geschäftsgeheimnisse oder Datenschutz zu gefährden. Welche Daten bereitgestellt werden müssen, wer sie anfordern darf und wie der Zugriff technisch geregelt ist, beleuchten wir in den folgenden Abschnitten.

Zugriffsrechte & Rollen – Wer darf was?

Wer darf eigentlich auf welche Daten zugreifen? Diese Frage gehört zu den häufigsten in Zusammenhang mit dem neuen Gesetz – und ist zentral für die Umsetzung in der Praxis. In dieser Zusammenfassung zum EU Data Act klären wir die Rollen, Rechte und Verantwortlichkeiten, wie sie in der Verordnung erstmals verbindlich geregelt werden.

Drei Rollen, ein gemeinsames Datenmodell

Der Data Act unterscheidet grundsätzlich zwischen drei Akteuren:

  • Nutzer (User): Wer ein vernetztes Produkt nutzt – z. B. eine Maschine, ein Fahrzeug oder ein Smart-Building-System – hat das Recht, bestimmte Nutzungsdaten einzusehen und zu erhalten.
  • Dateninhaber (Data Holder): Meist ist das der Hersteller oder Betreiber der Plattform, über die die Daten laufen. Er ist verpflichtet, diese Daten strukturiert und zugänglich bereitzustellen.
  • Dritte (Third Party): Auf Wunsch des Nutzers dürfen auch externe Dienstleister – z. B. für Wartung, Analyse oder Mehrwertservices – Zugriff auf bestimmte Daten erhalten.

Sonderfall: Behördenzugriff

In Ausnahmefällen, etwa bei Naturkatastrophen oder öffentlichen Notlagen, kann der Staat Zugriff auf bestimmte Daten verlangen. Das darf jedoch nur auf gesetzlicher Grundlage und unter Schutzvorkehrungen geschehen.

Rechte sind nur so stark wie ihre Umsetzung

Was in der Theorie einfach klingt, bringt in der Praxis erheblichen Abstimmungsbedarf mit sich. Unternehmen müssen klären:

  • Wer intern die Datenweitergabe verantwortet,
  • Wie der Zugriff technisch und organisatorisch gesteuert wird,
  • und welche Prozesse im Streitfall greifen.

Wichtig: Die Organisation ist mindestens so aufwändig wie die technische Umsetzung. Wie wird Zugriff beantragt? Wer entscheidet? Wer gibt wie Rückmeldung? Wie kommt der Nutzer an die Zugangsdaten? Wie wird das Vorgehen dokumentiert?

Besonders kritisch ist auch die Vertragsgestaltung:

Produkt-AGBs, Plattformnutzungsbedingungen oder NDAs müssen Data-Act-ready sein – sonst drohen Konflikte, Datenschutzverstöße oder Blockaden im Servicebetrieb.

Welche Daten sind vom Data Act betroffen – und welche nicht?

Viele Unternehmen fragen sich aktuell: Müssen wir wirklich alle unsere Daten teilen?

Die kurze Antwort: Nein.

Die längere – und für die Umsetzung entscheidende – lautet: Sie müssen genau unterscheiden.

Der aktuelle Stand zum Data Act zeigt: Erfasst werden grundsätzlich alle Daten, die bei der Nutzung vernetzter Produkte oder digitaler Dienste entstehen – zum Beispiel:

  • Maschinendaten wie Temperaturen, Betriebsstunden, Fehlermeldungen
  • Standort-, Bewegungs- oder Nutzungsdaten
  • Zustandsinformationen aus Wartung, Analyse oder Monitoring

Diese Daten gelten als sogenannte „Rohdaten“ – und fallen in den Anwendungsbereich des Data Act. Doch: Nicht alle davon müssen uneingeschränkt geteilt werden.

Drei Datenkategorien in der Praxis

Um Handlungssicherheit zu schaffen, empfehlen wir eine Einteilung in drei Gruppen:

  1. Bereitstellungspflichtige Daten:
    Rohdaten ohne Personenbezug oder Geschäftsgeheimnisse – diese müssen grundsätzlich bereitgestellt werden, etwa auf Anfrage des Nutzers.
  2. Sensible Daten:
    Geschäftsgeheimnisse, sicherheitsrelevante Informationen, IP-geschützte Elemente. Sie können von der Bereitstellung ausgenommen werden – aber nur, wenn das Risiko der Offenlegung nicht ausreichend kontrollierbar ist.
  3. Bedingt bereitzustellende Daten:
    Personenbezogene Informationen. Sie dürfen nur weitergegeben werden, wenn eine gültige DSGVO-Rechtsgrundlage vorliegt – z. B. eine Einwilligung.

Verantwortung liegt beim Unternehmen

Entscheidend ist nicht nur die technische Fähigkeit, Daten bereitzustellen – sondern auch die juristisch nachvollziehbare Begründung, warum bestimmte Daten eventuell nicht herausgegeben werden. Unternehmen brauchen dafür:

  • eine fundierte Datenklassifikation,
  • dokumentierte Abwägungsprozesse
  • und ein abgestimmtes Risikomanagement.

Technische Umsetzung & Fallstricke – Was Unternehmen jetzt prüfen müssen

Der Data Act regelt nicht nur, wer auf welche Daten zugreifen darf – sondern verpflichtet Unternehmen auch, diesen Zugriff technisch überhaupt erst möglich zu machen. Und genau das stellt viele Organisationen vor operative Herausforderungen.

Denn: Eine funktionierende API ist noch kein Data-Act-konformes System.

Daten müssen standardisiert, strukturiert und maschinenlesbar bereitgestellt werden – gleichzeitig aber gegen Missbrauch und unbefugten Zugriff abgesichert sein.

Der kritische Zeitrahmen – Ihre Data Act Timeline

Bereits ab September 2025 sind die meisten Regelungen des Data Act verbindlich einzuhalten. Die EU erwartet, dass Unternehmen sich frühzeitig vorbereiten. Wer erst 2026 beginnt, riskiert nicht nur Versäumnisse – sondern auch Sanktionen und Reputationsverluste.

Was Unternehmen jetzt prüfen sollten:

  • Haben wir eine zentrale Übersicht über alle relevanten Datenquellen und -flüsse?
  • Gibt es dokumentierte Zugriffskonzepte – inklusive Identitäts- und Rollenmanagement?
  • Können wir nachvollziehen, wer wann worauf zugegriffen hat?
  • Sind Datenformate vereinheitlicht und technisch übertragbar (z. B. via APIs)?
  • Gibt es Prozesse zur Einwilligung, Protokollierung und Absicherung sensibler Inhalte?

Diese technischen Fallstricke werden oft unterschätzt

Viele Unternehmen setzen zwar moderne Cloudlösungen oder IoT-Plattformen ein – aber:

  • Daten liegen verteilt in proprietären Systemen
  • Freigaben erfolgen per E-Mail statt durch kontrollierte Prozesse
  • DSGVO und Data Act werden nicht gemeinsam gedacht
  • Es gibt keine dokumentierten Schutzmaßnahmen für kritische Daten

Das Risiko: Zugriff ist technisch möglich – aber rechtlich oder organisatorisch unklar.

Wer hier frühzeitig Klarheit schafft, schafft auch Vertrauen: intern, gegenüber Kunden – und im Zweifel gegenüber Aufsichtsbehörden.

Welche konkreten Schnittstellen, Protokolle und Schutzmechanismen in welcher Konstellation sinnvoll sind, beschreiben wir ausführlich im Whitepaper. Dort finden Sie auch eine Checkliste zur technischen Readiness.

Umsetzung starten – So bereiten Sie Ihr Unternehmen auf den Data Act vor

Der Data Act ist da – und mit ihm die Pflicht, den Umgang mit industriellen Daten neu zu organisieren. Die gute Nachricht: Kein Unternehmen muss von heute auf morgen alles umstellen. Aber wer 2025 compliant sein will, sollte jetzt die Weichen stellen.

Entscheidend ist ein strukturiertes Vorgehen – statt hektischer Einzelmaßnahmen.

Ein bewährter Ansatz ist die Umsetzung in vier Etappen:

  1. Analyse & Klarheit schaffen:
     Welche Produkte, Daten und Rollen sind betroffen? Wo liegen Risiken und Lücken?
  2. Grundlagen legen:
     Rollen definieren, Verantwortlichkeiten festlegen, erste Prozesse aufsetzen – z. B. zur Datenklassifikation oder Vertragsergänzung.
  3. Technische & organisatorische Umsetzung:
     Zugriff steuern, Schnittstellen entwickeln, interne Abläufe dokumentieren.
  4. Betrieb & Weiterentwicklung:
     Compliance sichern, Umsetzung kontrollieren, Teams sensibilisieren.

Das Ziel ist kein einmaliger Haken auf der Checkliste – sondern eine Data-Governance-Struktur, die dauerhaft funktioniert.

Tipp: Viele Unternehmen starten mit einem Orientierungs-Workshop oder einer Readiness-Analyse. Damit lassen sich Prioritäten klar benennen – und Entscheider frühzeitig einbinden.

Zusammenfassung

Teilen Sie Ihre Daten souverän – statt nur zu reagieren

Der Data Act ist kein Papiertiger – und auch kein reines IT-Thema. Er betrifft, wie Unternehmen in Zukunft mit ihren Daten umgehen: intern, gegenüber Kunden, Partnern, Mitbewerbern und Behörden.

Wer frühzeitig beginnt, verschafft sich nicht nur Rechtssicherheit – sondern auch strategische Vorteile. Denn Daten, die geordnet und kontrolliert geteilt werden können, schaffen Vertrauen, ermöglichen neue Geschäftsmodelle und machen Unternehmen anschlussfähig für kommende regulatorische Anforderungen.

Jetzt ist der richtige Zeitpunkt, um Strukturen zu schaffen, Prozesse zu klären und den Umgang mit Daten strategisch neu aufzustellen.

Diesen Beitrag teilen
Wissenswertes
News
Lösungen
Cybersecurity (IT & OT)
Digital Product Security
Managed Cybersecurity Services (SOC)
KI-Sicherheit
Informationssicherheit (NIS2 und ISMS)
Datenschutz, Data Compliance & Governance
Branchen
Maschinen- und Anlagenbau
Automotive
Energieversorger
Handel und Logistik
Workshops & Trainings
CybersecurityDatenschutzCyber Competence Center
Unternehmen
Über unsNewsVeröffentlichungenKontaktKarriere
©
2024
 ditis Systeme. Alle Rechte vorbehalten.
Wir verwenden keine Cookies!
Impressum
Datenschutz
AGBs