MacherMentor
Regulierung

EU Data Act: Hersteller vernetzter Produkte müssen Daten freigeben

Von Joe Martin · · Regulierung

Infografik: EU Data Act VO 2023/2854 — Zeitstrahl mit vier Pflichtenstationen: Sep 2025 Datenzugangsrechte, Sep 2026 Data by Design, Jan 2027 Cloud-Wechsel kostenlos, Sep 2027 Portabilitätsstandards — navy-blauer Hintergrund, gelbe Akzente

Wem gehören die Daten, die dein Produkt erzeugt? Seit dem 12. September 2025 gibt der EU Data Act eine klare Antwort: dem Kunden. Wer vernetzte Produkte herstellt, muss Datenzugang ermöglichen — kostenlos, strukturiert, auf Abruf.

Was ist der EU Data Act?

Die Verordnung (EU) 2023/2854, verabschiedet am 13. Dezember 2023 und veröffentlicht im EU-Amtsblatt am 22. Dezember 2023, schafft einen einheitlichen Rechtsrahmen für den Datenzugang innerhalb der EU. Sie ist seit dem 11. Januar 2024 in Kraft und gilt seit dem 12. September 2025 in den meisten Teilen. Das deutsche Durchführungsgesetz (DA-DG) trat am 30. Mai 2026 in Kraft und benennt die Bundesnetzagentur als zuständige Behörde.

Wer ist betroffen?

Der Data Act richtet sich an mehrere Gruppen:

Mittlere KMU (50–249 Mitarbeitende) sind voll betroffen. Kleinstunternehmen und Kleinunternehmen (unter 50 Mitarbeitende, max. 10 Mio. Euro Umsatz) sind von den Design-Pflichten ausgenommen — aber nicht von der Datenweitergabe-Pflicht.

Die drei Kernpflichten seit September 2025

Kostenloser Datenzugang: Kunden können alle Daten, die ihr Produkt erzeugt, jederzeit kostenlos, strukturiert und maschinenlesbar abrufen. Der Hersteller darf keinen Genehmigungsvorbehalt einbauen.

Datenweitergabe an Dritte: Auf Kundenwunsch müssen Hersteller Produktdaten an Dritte übermitteln — etwa an unabhängige Wartungsbetriebe oder Servicepartner. Das Entgelt darf nur die direkten Bereitstellungskosten decken, kein Gewinnaufschlag ist erlaubt.

Schutz vor unfairen Vertragsklauseln: Standardmäßig unfaire Klauseln in Datenverträgen zwischen Unternehmen sind nichtig. Besonders KMU in asymmetrischen Vertragsbeziehungen profitieren davon.

Data by Design ab September 2026

Ab dem 12. September 2026 müssen alle neu auf den Markt gebrachten vernetzten Produkte so konstruiert sein, dass der Datenzugang technisch integriert ist — ähnlich wie Privacy by Design in der DSGVO. Bestehende Produktlinien haben bis September 2027 Zeit.

Das bedeutet konkret: Wer heute neue Produkte entwickelt, muss die Datenzugangs-Architektur von Anfang an einplanen. Nachrüsten ist möglich, aber teuer. Der Zeitdruck ist real: Produktentwicklungszyklen dauern typischerweise 12–24 Monate — wer jetzt nicht beginnt, wird 2026 nicht rechtzeitig fertig sein.

Cloud-Wechsel: Neue Rechte für Nutzer

Bereits seit September 2025 müssen Cloud-Anbieter den Wechsel zu einem anderen Anbieter technisch ermöglichen. Ab dem 12. Januar 2027 sind alle Switching-Gebühren vollständig verboten — auch die bisher üblichen Egress-Fees für den Datenexport. Das soll Anbieterwechsel faktisch kostenlos machen und Lock-in-Effekte reduzieren.

Was droht bei Verstößen?

Die Sanktionen sind erheblich:

Was KMU jetzt tun sollten

Drei Schritte haben Priorität:

1. Bestandsaufnahme: Welche eurer Produkte sind vernetzt und welche Daten erzeugen sie? Wer kontrolliert diese Daten heute? 2. Datenzugang prüfen: Können Kunden ihre Produktdaten heute schon abrufen? Falls nicht: Handlungsbedarf bis September 2025 war eigentlich bereits Pflicht. 3. Produktentwicklung anpassen: Neue Produkte, die ab September 2026 auf den Markt kommen, müssen Data by Design erfüllen — das Redesign muss jetzt starten.

Weiterführende Pflichten für Hersteller vernetzter Produkte: Cyber Resilience Act (Cybersicherheit ab 2027), GPSR (Produktsicherheit seit Dez. 2024) und EU AI Act (KI-Transparenz ab Aug. 2026) ergänzen den Data Act zu einem vollständigen digitalen Pflichtrahmen.

Häufige Fragen

Was ist der EU Data Act und wen betrifft er?+
Der EU Data Act (Verordnung EU 2023/2854) regelt den Zugang zu und die Nutzung von Daten, die vernetzte Produkte erzeugen. Er gilt seit dem 12. September 2025 und betrifft Hersteller vernetzter Produkte (IoT, Maschinen, Fahrzeuge, Smart Appliances, Landtechnik), Anbieter verbundener Dienste, Dateninhaber und Cloud-Dienstleister. Kleinstunternehmen unter 10 Mitarbeitenden und Kleinunternehmen unter 50 Mitarbeitenden sind von den Design-Pflichten ausgenommen, nicht aber von der Datenweitergabe-Pflicht.
Was bedeutet Data by Design im EU Data Act?+
Ab dem 12. September 2026 müssen alle neu auf den Markt gebrachten vernetzten Produkte so konstruiert sein, dass Kunden ihre produktgenerierten Daten standardmäßig, einfach und sicher abrufen können — ohne separaten Antrag beim Hersteller. Dieser Grundsatz heißt 'Data by Design' und ist vergleichbar mit dem Privacy by Design aus der DSGVO. Bestehende Produktlinien sind erst ab September 2027 vollständig erfasst. Mittlere KMU (50–249 Mitarbeitende) sind ab September 2026 voll betroffen.
Welche Bußgelder drohen bei Verstößen gegen den EU Data Act?+
Bei Verletzung der Datenzugangsrechte, Portabilitätspflichten oder Cloud-Switching-Regeln drohen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist. Das deutsche Durchführungsgesetz (DA-DG, in Kraft seit 30. Mai 2026) setzt zusätzlich Bußgelder von bis zu 500.000 Euro für bestimmte Verstöße fest. Zuständige Behörde ist die Bundesnetzagentur. Bei Verstößen, die gleichzeitig personenbezogene Daten betreffen, können DSGVO-Sanktionen bis 20 Millionen Euro oder 4 Prozent des Umsatzes kumulativ anfallen.
Sind kleine Unternehmen vom EU Data Act ausgenommen?+
Nur teilweise. Kleinstunternehmen (unter 10 Mitarbeitende, max. 2 Mio. Euro Umsatz) und Kleinunternehmen (unter 50 Mitarbeitende, max. 10 Mio. Euro Umsatz) sind von den Design-Pflichten nach Artikel 5 ausgenommen — sofern sie kein verbundenes Unternehmen haben, das selbst kein KMU ist. Die Datenweitergabe-Pflicht (wenn Kunden ihre Daten anfordern) gilt jedoch auch für kleine Unternehmen. Mittlere KMU (50–249 Mitarbeitende) sind vollständig betroffen.
Was ändert sich beim Cloud-Wechsel durch den EU Data Act?+
Seit dem 12. September 2025 müssen Cloud-Anbieter den Wechsel zu einem anderen Anbieter technisch und vertraglich ermöglichen. Daten müssen in offenen, maschinenlesbaren Formaten exportierbar sein. Ab dem 12. Januar 2027 sind alle Cloud-Switching-Gebühren vollständig verboten — einschließlich der sogenannten Egress-Fees, die bisher beim Datenexport aus einer Cloud-Umgebung anfielen. Das macht den Anbieterwechsel faktisch kostenlos.

Du willst wissen, was das für deinen Betrieb bedeutet?

In der Macher-Session sprechen wir über genau solche Themen — konkret, ohne Theorie-Kurs.

Melde dich für die Macher-Session an
Quellen

Hinweis: Allgemeine Einordnung, keine Rechtsberatung im Einzelfall. Stand: 12. Juli 2026.

Über den Autor

Joe Martin baut seit über 45 Jahren Unternehmen — als Gründer, als Verkäufer eigener Firmen und als Berater für Startups und Banken. Er ist Autor von vier Büchern und entwickelt heute KI-Software. In der offenen Macher-Session beantwortet er reale Unternehmer-Fragen — kein Theorie-Kurs. Mehr über Joe Martin →

← Zurück zum Blog