EU Data Act: Hersteller vernetzter Produkte müssen Daten freigeben
Wem gehören die Daten, die dein Produkt erzeugt? Seit dem 12. September 2025 gibt der EU Data Act eine klare Antwort: dem Kunden. Wer vernetzte Produkte herstellt, muss Datenzugang ermöglichen — kostenlos, strukturiert, auf Abruf.
Was ist der EU Data Act?
Die Verordnung (EU) 2023/2854, verabschiedet am 13. Dezember 2023 und veröffentlicht im EU-Amtsblatt am 22. Dezember 2023, schafft einen einheitlichen Rechtsrahmen für den Datenzugang innerhalb der EU. Sie ist seit dem 11. Januar 2024 in Kraft und gilt seit dem 12. September 2025 in den meisten Teilen. Das deutsche Durchführungsgesetz (DA-DG) trat am 30. Mai 2026 in Kraft und benennt die Bundesnetzagentur als zuständige Behörde.
Wer ist betroffen?
Der Data Act richtet sich an mehrere Gruppen:
- Hersteller vernetzter Produkte: Maschinen, Fahrzeuge, Smart Appliances, Landtechnik, Medizingeräte, Industrieanlagen — alle Produkte, die Daten erzeugen und netzwerkfähig sind
- Anbieter verbundener Dienste: Apps, Plattformen und Software, die mit diesen Produkten zusammenarbeiten
- Dateninhaber: Unternehmen, die produktgenerierte Daten kontrollieren oder speichern
- Cloud- und Datenverarbeitungsdienstleister: IaaS-, PaaS- und SaaS-Anbieter
Mittlere KMU (50–249 Mitarbeitende) sind voll betroffen. Kleinstunternehmen und Kleinunternehmen (unter 50 Mitarbeitende, max. 10 Mio. Euro Umsatz) sind von den Design-Pflichten ausgenommen — aber nicht von der Datenweitergabe-Pflicht.
Die drei Kernpflichten seit September 2025
Kostenloser Datenzugang: Kunden können alle Daten, die ihr Produkt erzeugt, jederzeit kostenlos, strukturiert und maschinenlesbar abrufen. Der Hersteller darf keinen Genehmigungsvorbehalt einbauen.
Datenweitergabe an Dritte: Auf Kundenwunsch müssen Hersteller Produktdaten an Dritte übermitteln — etwa an unabhängige Wartungsbetriebe oder Servicepartner. Das Entgelt darf nur die direkten Bereitstellungskosten decken, kein Gewinnaufschlag ist erlaubt.
Schutz vor unfairen Vertragsklauseln: Standardmäßig unfaire Klauseln in Datenverträgen zwischen Unternehmen sind nichtig. Besonders KMU in asymmetrischen Vertragsbeziehungen profitieren davon.
Data by Design ab September 2026
Ab dem 12. September 2026 müssen alle neu auf den Markt gebrachten vernetzten Produkte so konstruiert sein, dass der Datenzugang technisch integriert ist — ähnlich wie Privacy by Design in der DSGVO. Bestehende Produktlinien haben bis September 2027 Zeit.
Das bedeutet konkret: Wer heute neue Produkte entwickelt, muss die Datenzugangs-Architektur von Anfang an einplanen. Nachrüsten ist möglich, aber teuer. Der Zeitdruck ist real: Produktentwicklungszyklen dauern typischerweise 12–24 Monate — wer jetzt nicht beginnt, wird 2026 nicht rechtzeitig fertig sein.
Cloud-Wechsel: Neue Rechte für Nutzer
Bereits seit September 2025 müssen Cloud-Anbieter den Wechsel zu einem anderen Anbieter technisch ermöglichen. Ab dem 12. Januar 2027 sind alle Switching-Gebühren vollständig verboten — auch die bisher üblichen Egress-Fees für den Datenexport. Das soll Anbieterwechsel faktisch kostenlos machen und Lock-in-Effekte reduzieren.
Was droht bei Verstößen?
Die Sanktionen sind erheblich:
- Bis 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes (je nach dem höheren Betrag) bei Verletzung der Datenzugangsrechte, Portabilitätspflichten oder Cloud-Switching-Regeln
- Deutsches DA-DG: zusätzlich bis 500.000 Euro für bestimmte nationale Verstöße
- DSGVO-Sanktionen kumulativ möglich, wenn personenbezogene Daten betroffen sind
Was KMU jetzt tun sollten
Drei Schritte haben Priorität:
1. Bestandsaufnahme: Welche eurer Produkte sind vernetzt und welche Daten erzeugen sie? Wer kontrolliert diese Daten heute? 2. Datenzugang prüfen: Können Kunden ihre Produktdaten heute schon abrufen? Falls nicht: Handlungsbedarf bis September 2025 war eigentlich bereits Pflicht. 3. Produktentwicklung anpassen: Neue Produkte, die ab September 2026 auf den Markt kommen, müssen Data by Design erfüllen — das Redesign muss jetzt starten.
Weiterführende Pflichten für Hersteller vernetzter Produkte: Cyber Resilience Act (Cybersicherheit ab 2027), GPSR (Produktsicherheit seit Dez. 2024) und EU AI Act (KI-Transparenz ab Aug. 2026) ergänzen den Data Act zu einem vollständigen digitalen Pflichtrahmen.
Häufige Fragen
Was ist der EU Data Act und wen betrifft er?+
Was bedeutet Data by Design im EU Data Act?+
Welche Bußgelder drohen bei Verstößen gegen den EU Data Act?+
Sind kleine Unternehmen vom EU Data Act ausgenommen?+
Was ändert sich beim Cloud-Wechsel durch den EU Data Act?+
Du willst wissen, was das für deinen Betrieb bedeutet?
In der Macher-Session sprechen wir über genau solche Themen — konkret, ohne Theorie-Kurs.
Melde dich für die Macher-Session an- EUR-Lex: Verordnung (EU) 2023/2854 — Volltext
- EU-Kommission: Data Act erklärt
- BGBl. 2026 I Nr. 157 — Data Act Durchführungsgesetz (DA-DG)
Hinweis: Allgemeine Einordnung, keine Rechtsberatung im Einzelfall. Stand: 12. Juli 2026.