Der Data Act der Europäischen Union tritt am 12. September 2025 in Kraft – in nur wenigen Wochen. Für Hersteller vernetzter Produkte und IoT-Geräte bedeutet dies eine fundamentale Änderung in der Art, wie sie mit Produktdaten umgehen müssen.
Der Handlungsbedarf ist akut: Unternehmen müssen ihren Kunden und autorisierten Dritten Zugang zu relevanten Produktdaten gewähren. Wer jetzt noch nicht mit der Umsetzung begonnen hat, steht vor enormen Herausforderungen. Bei Verstößen drohen empfindliche Geldbußen bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes.
Dieser Artikel zeigt konkrete Umsetzungsschritte und adressiert die wichtigsten Problemfelder, die in der Praxis auftreten.
Überblick der Anforderungen für Hersteller
Der Data Act verpflichtet Hersteller, Nutzern und berechtigten Dritten Zugang zu den von ihren Produkten generierten Daten zu gewähren. Dies umfasst sowohl technische als auch rechtliche Anforderungen.
Technisch müssen Hersteller sichere, standardisierte Schnittstellen bereitstellen, über die Daten in maschinenlesbaren Formaten abgerufen werden können. Die Authentifizierung und Autorisierung der Zugriffe muss gewährleistet sein, ohne die Sicherheit der Gesamtsysteme zu gefährden.
Rechtlich sind Hersteller verpflichtet, die Datenstrukturen zu dokumentieren, klare Nutzungsbedingungen zu definieren und transparent zu machen, welche Daten verfügbar sind. Der Geltungsbereich erstreckt sich auf alle vernetzten Produkte, die Daten über ihre Nutzung oder Umgebung generieren.
Praktische Umsetzung am Beispiel einer vernetzten Maschine
Betrachten wir eine Industriemaschine, die über MQTT an die Azure IoT-Plattform angebunden ist. Aktuell fließen Sensordaten, Betriebsparameter und Wartungsinformationen über das MQTT-Protokoll an den Azure IoT Hub in die Cloud-Systeme. Diese Daten werden intern für Optimierungen und Predictive Maintenance genutzt.
Für den Data Act muss der Hersteller zusätzliche APIs entwickeln, die es Kunden ermöglichen, auf diese Daten zuzugreifen. Eine REST API könnte beispielsweise Endpunkte für Betriebsdaten, Energieverbrauch und Wartungshistorie bereitstellen. Die Authentifizierung erfolgt über OAuth 2.0 oder API-Keys, die an berechtigte Nutzer ausgegeben werden.
Die Azure-Plattform bietet hier verschiedene Lösungsansätze: Azure API Management kann als Gateway fungieren, das sowohl die Authentifizierung als auch das Rate Limiting (Begrenzung der Anfragerate) übernimmt. Über Power Platform können zudem Low-Code-Lösungen entwickelt werden, die es Kunden ermöglichen, die Daten ohne tiefe technische Kenntnisse in ihre eigenen Systeme zu integrieren.
Bei der Implementierung müssen Hersteller zwischen Nutzer-APIs für Produktbesitzer und Drittanbieter-APIs für autorisierte Services unterscheiden. Die Datenfilterung spielt eine entscheidende Rolle – nicht alle internen Daten sind für externe Nutzer relevant oder zugänglich.
Zentrale Herausforderungen und Lösungsansätze
Neben den technischen Implementierungsaufgaben stehen Hersteller vor drei fundamentalen Herausforderungen, die der Data Act nur unvollständig definiert. Diese Rechtsunsicherheiten erfordern pragmatische Lösungsansätze und eine enge Abstimmung zwischen technischen und rechtlichen Aspekten.
Was sind relevante Daten?
Eine der größten Unsicherheiten des Data Act liegt in der Definition “relevanter Daten”. Der Gesetzestext bleibt bewusst vage und überlässt die Konkretisierung der Praxis und Rechtsprechung. Für Hersteller bedeutet dies rechtliche Unsicherheit.
In der Praxis empfiehlt sich eine konservative Auslegung: Alle Daten, die für die Funktion, Wartung oder Optimierung des Produkts relevant sein könnten, sollten zugänglich gemacht werden. Bei Industriemaschinen gehören dazu typischerweise Betriebsdaten, Sensormesswerte und Statusmeldungen. Interne Konfigurationsdaten oder Algorithmus-Parameter können hingegen als nicht relevant eingestuft werden.
Der Austausch mit Branchenverbänden und anderen Herstellern hilft, gemeinsame Interpretationsleitlinien zu entwickeln. Rechtssicherheit entsteht jedoch erst durch erste Gerichtsurteile oder regulatorische Klarstellungen.
„Daten“: jede digitale Darstellung von Handlungen, Tatsachen oder Informationen sowie jede Zusammenstellung solcher Handlungen, Tatsachen oder Informationen auch in Form von Ton-, Bild- oder audiovisuellem Material;
Artikel 2 – Begriffsbestimmungen
Geistiges Eigentum und Geschäftsgeheimnisse
Der Data Act sieht Ausnahmen für Geschäftsgeheimnisse vor, definiert aber nicht klar, wo die Grenzen liegen. Hersteller müssen zwischen wertvollen IP-Informationen und unbedenklichen Betriebsdaten unterscheiden.
Der Data Act sieht Ausnahmen für Geschäftsgeheimnisse vor, definiert aber nicht klar, wo die Grenzen liegen. Hersteller müssen zwischen wertvollen IP-Informationen und unbedenklichen Betriebsdaten unterscheiden.
Technisch lässt sich dies durch mehrstufige Datenklassifizierung lösen: Öffentlich zugängliche Daten, kundenzugängliche Betriebsdaten und interne Geschäftsgeheimnisse werden getrennt behandelt. APIs können selektiv nur bestimmte Datenkategorien freigeben.
Rechtlich sollten Nutzungsbedingungen und NDAs den Umgang mit den bereitgestellten Daten regeln. Bei sensiblen Industrie-Anwendungen kann eine zusätzliche Vertragsebene mit strengeren Geheimhaltungsklauseln sinnvoll sein.
Dokumentationspflichten
Der Data Act verlangt umfassende Dokumentation der bereitgestellten Daten. Dies umfasst technische Spezifikationen der APIs, Beschreibungen der Datenstrukturen und deren Bedeutung sowie Informationen zu Aktualisierungszyklen.
Hersteller müssen sowohl für technische Integratoren als auch für Endnutzer verständliche Dokumentation bereitstellen. API-Spezifikationen sollten maschinenlesbar sein (beispielsweise im OpenAPI-Format), während Nutzerhandbücher die praktische Anwendung erklären.
Besonders herausfordernd ist die Versionierung: Wenn sich die bereitgestellten Daten oder dessen Strukturen ändern, muss dies dokumentiert und kommuniziert werden. Ein strukturiertes Change Management ist daher essentiell.
Weitere kritische Aspekte
Über die grundlegenden Implementierungsherausforderungen hinaus müssen Hersteller zusätzliche Compliance-Anforderungen berücksichtigen. Diese betreffen insbesondere die Bereiche IT-Sicherheit, internationale Geschäftstätigkeit und die wirtschaftlichen Auswirkungen der Data Act-Umsetzung.
Datensicherheit und Compliance
Die Öffnung von Datenströmen darf nicht zu Sicherheitslücken führen. APIs müssen robust gegen Angriffe sein und dürfen keine unbefugten Zugriffe auf interne Systeme ermöglichen. Rate Limiting und Monitoring sind daher unerlässlich.
Gleichzeitig müssen DSGVO-Anforderungen beachtet werden, falls personenbezogene Daten in IoT-Systemen verarbeitet werden. Die Kombination aus Data Act und DSGVO erfordert besondere Sorgfalt bei der Umsetzung.
Internationale Herausforderungen
Global agierende Hersteller müssen berücksichtigen, dass Cloud-Services oft außerhalb der EU betrieben werden. Azure bietet EU-Regionen, aber viele Unternehmen nutzen globale Deployments. Die Datenresidenz und Transfermechanismen müssen Data Act-konform gestaltet werden.
Wirtschaftliche Überlegungen
Die Implementierung des Data Acts verursacht erhebliche Kosten für Entwicklung, Betrieb und Wartung. Gleichzeitig können sich neue Geschäftsmodelle ergeben, wenn Daten als Service angeboten werden.
Hersteller sollten frühzeitig entscheiden, ob sie den Data Act als Kostenfaktor oder als Differenzierungsmerkmal nutzen. Proaktive Unternehmen können durch überlegene Datenservices Wettbewerbsvorteile erzielen.
Strategisches Vorgehen für die Umsetzung
Angesichts der Komplexität und des Zeitdrucks erfordert die Data Act-Umsetzung eine strukturierte und pragmatische Herangehensweise. Ein dreiphasiges Vorgehen hat sich in der Praxis bewährt, um sowohl die rechtlichen als auch die technischen Anforderungen systematisch zu erfüllen.
Eine professionelle rechtliche Bewertung hilft, die Abgrenzung zwischen IP-geschützten und zugänglichen Daten zu treffen. Gleichzeitig muss die bestehende technische Infrastruktur analysiert werden, um Implementierungsmöglichkeiten zu identifizieren.
Die technische Spezifikation sollte modularen Aufbau haben, um zukünftige Anpassungen zu ermöglichen. Gleichzeitig müssen Performance-Aspekte berücksichtigt werden, da die APIs für den Data Act zusätzliche Last auf bestehende Systeme bringen.
Die Umsetzung erfolgt idealerweise stufenweise, mit kontinuierlicher Validierung der rechtlichen Konformität. Performance-Tests und Sicherheitsüberprüfungen sind essentiell.
Die finale Dokumentation muss vollständig und aktuell sein, bevor die APIs produktiv geschaltet werden. Ein Compliance-Review durch externe Experten kann zusätzliche Sicherheit schaffen.
Angesichts der knappen Zeit bis zum Stichtag ist eine strukturierte Herangehensweise entscheidend. Die Kombination aus technischer und rechtlicher Expertise ist unerlässlich – wenige Unternehmen verfügen intern über alle erforderlichen Kompetenzen.
Eine iterative Herangehensweise ermöglicht Anpassungen während der Entwicklung, ohne den Zeitplan zu gefährden. Gleichzeitig sollten wichtige Stakeholder wie Kunden und Partner frühzeitig in den Prozess eingebunden werden.
Empfehlungen und Best Practices
Basierend auf ersten Implementierungserfahrungen und technischen Standards lassen sich konkrete Empfehlungen für eine erfolgreiche Umsetzung des Data Acts ableiten. Diese gliedern sich in technische und rechtliche Aspekte, die parallel berücksichtigt werden sollten.
Eine modulare Architektur ermöglicht es, zunächst grundlegende Funktionalität bereitzustellen und später zu erweitern. Monitoring und Logging der API-Nutzung sind wichtig für den Betrieb und potenzielle Compliance-Nachweise.
Darüber hinaus liefern Pilotprojekte mit ausgewählten Kunden wertvolle Erfahrungen und reduzieren Implementierungsrisiken. Gleichzeitig schaffen sie Vertrauen bei wichtigen Stakeholdern.
Fazit und Ausblick
Der Data Act stellt Hersteller vor erhebliche Herausforderungen, die in den verbleibenden Wochen bis zum Stichtag kaum noch ohne professionelle Unterstützung zu bewältigen sind. Die Komplexität der rechtlichen und technischen Anforderungen erfordert spezialisierte Expertise. Die Sanktionsmöglichkeiten sind dabei erheblich: Bei Verstößen können Geldbußen bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes verhängt werden.
Gleichzeitig bietet der Data Act langfristig Chancen für neue Geschäftsmodelle und Differenzierungsmöglichkeiten. Unternehmen, die proaktiv handeln und Data Act-Compliance als strategischen Vorteil nutzen, können sich entsprechend im Markt positionieren.
Die Entwicklung wird auch nach dem Stichtag weitergehen. Rechtsprechung und Regulierungspraxis werden die Interpretation des Data Act präzisieren und möglicherweise Anpassungen erfordern.
Ihre nächsten Schritte
Wenn Sie noch nicht mit der Data Act-Umsetzung begonnen haben, ist sofortiges Handeln erforderlich. Eine Bestandsaufnahme Ihrer betroffenen Produkte und Datenströme ist der erste Schritt.
Angesichts der Komplexität und des Zeitdrucks empfehlen wir professionelle Beratung. Fokussieren Sie sich auf die kritischsten Systeme und Datenströme, um bis zum Stichtag zumindest grundlegende Compliance zu erreichen.
Sprechen Sie uns für eine Data Act Compliance-Beratung an. Wir unterstützen Sie bei der rechtlichen Bewertung, technischen Umsetzung und strategischen Positionierung – damit Sie den Data Act nicht nur als Compliance-Herausforderung, sondern als Geschäftschance nutzen können.
Weitere Informationen: www.secuvise.com
