Seit dem 12. September 2025 gilt in der gesamten Europäischen Union der Data Act. Mit der Verordnung will die EU den Zugang zu Daten verbessern und deren Nutzung für Wirtschaft und Gesellschaft erleichtern. Der Hintergrund: Laut EU-Kommission werden derzeit rund 80 Prozent der gesammelten Industriedaten nie genutzt – ein gewaltiges, bislang brachliegendes Potenzial. Der Data Act ist ein Kernstück der europäischen Digitalstrategie und soll dafür sorgen, dass Daten nicht länger in abgeschotteten Silos liegen, sondern für Innovationen, neue Dienstleistungen und effizientere Prozesse zur Verfügung stehen.
Während zentrale Vorgaben – etwa zu Cloud-Diensten, Vertragsklauseln und Behördenzugriffen – bereits ab diesem Datum gelten, greifen die technischen Design-Pflichten für vernetzte Produkte und zugehörige Dienste erst ab dem 12. September 2026.
Für kleine und mittlere Unternehmen ist diese Entwicklung besonders relevant. Sie sollen vom Data Act profitieren, indem der Zugang zu Daten erleichtert, Abhängigkeiten von großen Anbietern reduziert und faire Wettbewerbsbedingungen geschaffen werden. Gleichzeitig bringt die Verordnung neue Pflichten mit sich, insbesondere für Betriebe, die selbst digitale Produkte oder Dienstleistungen anbieten.
Wichtige Inhalte der Data Act Verordnung für Unternehmen
Im Zentrum des Data Act stehen Daten aus vernetzten Produkten und Diensten. Hersteller dieser Produkte müssen sicherstellen, dass Nutzende Zugriff auf die dabei entstehenden Daten haben – schnell, sicher und im Regelfall ohne zusätzliche Kosten.
Verbraucher, die beispielsweise einen smarten Kühlschrank oder ein vernetztes Fahrzeug nutzen, haben künftig das Recht, die dabei generierten Nutzungsdaten selbst einzusehen und an Dritte weiterzugeben. Nutzer eines smarten Kühlschranks können beispielsweise künftig verlangen, dass ein Dritter (z. B. ein Wartungsdienst) auf diese Daten zugreifen darf, um das Gerät zu reparieren. Dieses Prinzip „access by design“ verpflichtet Hersteller, schon beim Produktdesign Schnittstellen oder andere Zugänge zu berücksichtigen. Das gilt insbesondere für neu auf den Markt gebrachte Produkte nach dem Stichtag.
In Summe lassen sich die Schwerpunkte der Verordnung so ordnen:
(1) verbesserter Zugang zu Daten aus vernetzten Produkten und Diensten,
(2) Unwirksamkeit missbräuchlicher Vertragsklauseln,
(3) bereitstellungs- und zugriffsbezogene Regeln für Behörden in echten Ausnahmesituationen,
(4) Erleichterung des Wechsels zwischen Datenverarbeitungsdiensten (Cloud-Switching),
(5) Förderung von Interoperabilität und Standards, damit Daten souverän und systemübergreifend nutzbar werden.
Die Weitergabe der Daten an Dritte gilt nicht nur für die Endverbraucher:innen, sondern auch im B2B Bereich. Ein mittelständisches Unternehmen, das eine vernetzte Maschine im Einsatz hat, darf also ebenfalls vom Hersteller der Maschine verlangen, dass erhobene Daten direkt an einen unabhängigen Wartungsdienst übermittelt werden. Hersteller können dafür zwar eine Vergütung verlangen, bei Unternehmen darf diese jedoch maximal die direkten Kosten decken. Ziel ist es, dass kleinere Unternehmen nicht durch überhöhte Gebühren vom Datenzugang ausgeschlossen werden.
Ein weiterer Bereich betrifft Vertragsbedingungen. Viele Unternehmen haben bislang die Erfahrung gemacht, dass sie gegenüber großen Vertragspartnern wenig Verhandlungsspielraum haben. Ab 2025 sind missbräuchliche Vertragsklauseln, die den gesetzlich garantierten Datenzugang einschränken, unwirksam. Für bestehende Langzeitverträge gilt eine Übergangsfrist bis 2027, damit Unternehmen Zeit haben, ihre Verträge anzupassen.
Wesentliche Neuerungen gibt es auch im Bereich Cloud-Dienste. Der Data Act verpflichtet Anbieter dieser Dienste, Hindernisse beim Wechsel zu beseitigen. Kündigungsfristen dürfen höchstens zwei Monate betragen, und Daten müssen innerhalb von 30 Tagen übertragbar sein. Wechselgebühren werden schrittweise abgeschafft und ab 2027 ganz verboten. Damit sollen sogenannte Lock-in-Effekte reduziert werden, die bislang viele Unternehmen an einen Anbieter binden. Parallel verlangt die Verordnung mehr Interoperabilität – also Schnittstellen und Datenformate, die plattformübergreifende Portabilität ermöglichen und Wechsel sowie Mehrfachnutzung technisch praktikabel machen.
Schließlich enthält der Data Act auch Regeln für den Zugriff von Behörden. In Ausnahmefällen – etwa bei Naturkatastrophen, Pandemien oder größeren Infrastrukturausfällen – dürfen öffentliche Stellen Unternehmen zur Herausgabe bestimmter Daten verpflichten, wenn diese für das Krisenmanagement erforderlich sind. Ein Beispiel: Bei einer Überschwemmung könnten Sensordaten von Logistikunternehmen oder Verkehrsleitstellen genutzt werden, um Rettungsrouten zu optimieren oder Versorgungslieferungen zu koordinieren. Der Zugriff ist jedoch eng begrenzt und darf Geschäftsgeheimnisse oder personenbezogene Daten nicht gefährden. Maßgeblich ist ein tatsächlicher Ausnahmebedarf; reguläre Geschäfts- oder Wettbewerbszwecke sind nicht erfasst. Unternehmen haben die Möglichkeit, ihre Daten vorab zu anonymisieren oder zu verschlüsseln, um sensible Informationen zu schützen.
Wer ist von Data Act betroffen?
Grundsätzlich gilt der Data Act für alle Akteure, die in der EU Daten erzeugen, verarbeiten oder bereitstellen. Dazu gehören Hersteller und Anbieter von vernetzten Produkten, Nutzer dieser Produkte, Cloud- und Datendienstleister sowie alle Unternehmen, die Daten von Dritten erhalten.
Neben Herstellern, Nutzenden und Cloud-Anbietern adressiert der Data Act Datenempfänger, Intermediäre, Standardisierungsakteure und zuständige Behörden. Für Unternehmen bedeutet das, dass mehrere Rollen gleichzeitig relevant sein können – etwa als Nutzer vernetzter Geräte, Anbieter eigener digitaler Services und Bezieher von Cloud-Leistungen.
Nicht alle Unternehmen sind gleichermaßen betroffen – die wichtigsten Unterschiede im Überblick
Kleinst- und Kleinunternehmen (unter 50 Mitarbeitende und unter 10 Mio. € Umsatz):
- Pflichten: Von den meisten Regelungen des Data Act ausgenommen, insbesondere keine Pflicht zur Datenbereitstellung oder zum „Access by Design“.
- Ausnahme: Wenn ein kleines Unternehmen wirtschaftlich eng mit einem größeren Partner verbunden ist, gelten die Pflichten anteilig.
→ Ziel: Vermeidung unverhältnismäßiger Belastungen für kleine Betriebe.
Mittlere und große Unternehmen (ab 50 Mitarbeitende / über 10 Mio. € Umsatz):
- Pflichten: Data-Act-konforme Gestaltung vernetzter Produkte und Dienste („Access by Design“).
- Zeitliche Anwendung: Die Designpflicht gilt erst für Produkte und Dienste, die ab dem 12. September 2026 neu in Verkehr gebracht werden. Bis dahin besteht eine Übergangsphase zur technischen und organisatorischen Anpassung.
- Hinweis: Diese Frist gilt für alle Unternehmen – unabhängig von ihrer Größe. Andere Regelungen des Data Act, etwa zu Cloud-Switching und Vertragsklauseln, sind bereits ab dem 12. September 2025 anwendbar. (Art. 50)
- Datenbereitstellung: Bei Datenzugang durch KMU als Empfänger darf die Gegenleistung nur die direkten Bereitstellungskosten decken – Aufschläge oder versteckte Gebühren sind unzulässig.
- Überprüfung: Die EU-Kommission plant für 2028 eine Evaluation, um die Auswirkungen des Data Act insbesondere auf kleine und mittlere Unternehmen zu bewerten.
Damit sind vor allem mittelständische Industrieunternehmen, Softwareanbieter und Dienstleister direkt betroffen. Für sie bedeutet der Data Act, dass sie technische und organisatorische Anpassungen vornehmen müssen,
Gut zu Wissen: Ein und dasselbe Unternehmen kann mehrere Rollen gleichzeitig einnehmen: z. B. Hersteller, Nutzer von Daten aus anderen Systemen und Anbieter eigener Dienste. Deshalb müssen Unternehmen ihre Datenstrategie prüfen, um alle Pflichten einzuhalten.
Was sind die Vorteile für Unternehmen?
Für viele mittelständische Unternehmen bietet der Data Act konkrete Vorteile. So erhalten Betriebe künftig leichter Zugang zu den Daten, die sie selbst durch die Nutzung digitaler Geräte erzeugen. Ein Landwirt kann etwa die Sensordaten seines Traktors anfordern und damit präziser wirtschaften. Ein Maschinenbauunternehmen kann die Telemetriedaten seiner Anlagen mit einem unabhängigen Servicepartner teilen, um Wartungskosten zu senken.
Auch im Bereich Cloud-Dienste verbessert sich die Position der Unternehmen. Der Wechsel von einem Anbieter zum anderen wird deutlich einfacher. Bislang scheuten viele Unternehmen einen Wechsel, weil sie hohe Kosten oder den Verlust wichtiger Daten befürchteten. Ab 2027 entfällt diese Hürde vollständig, was den Wettbewerb zwischen Anbietern anregen und die Verhandlungsposition kleinerer Betriebe stärken dürfte.
Neue Geschäftsmodelle möglich
Darüber hinaus entstehen durch den Data Act neue Möglichkeiten für Geschäftsmodelle. Unternehmen, die bisher keinen Zugang zu relevanten Daten hatten, können künftig eigene Dienstleistungen entwickeln. Ein Beispiel ist ein mittelständisches Softwarehaus, das im Auftrag von Kunden Maschinendaten analysiert und Optimierungsvorschläge liefert. Solche datengetriebenen Services waren bislang oft großen Herstellern vorbehalten.
Neben diesen Potenzialen bestehen Herausforderungen, die Unternehmen frühzeitig adressieren sollten: unbestimmte Rechtsbegriffe und die Abstimmung mit der DSGVO, die Wahrung von Geschäftsgeheimnissen bei gleichzeitiger Datenteilung, Abgrenzungsfragen zur Verantwortlichkeit sowie praktische Standardisierungs- und Interoperabilitätsanforderungen. Nicht zu unterschätzen ist die angemessene Gegenleistung für Datenbereitstellungen und der operative Aufwand (Prozesse, Schnittstellen, Support).
Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren
Welche Pflichten gibt es mit dem Data Act für Unternehmen?
So viele Chancen der Data Act eröffnet – für Unternehmen, die selbst digitale Produkte oder Dienstleistungen anbieten, entstehen auch klare Pflichten. Hersteller müssen ihre Geräte so gestalten, dass Datenzugang technisch möglich ist. Das kann Investitionen in Schnittstellen, Exportfunktionen oder APIs erfordern.
Zudem müssen bestehende Verträge überprüft und angepasst werden. Klauseln, die den Datenzugang einschränken oder Haftung ausschließen, sind künftig unwirksam. Im B2B-Kontext gelten fair-, reasonable- and non-discriminatory (FRAND)-Bedingungen als Leitplanke für Zugangs- und Nutzungsbedingungen. Für Unternehmen relevant: missbräuchliche Vertragsklauseln sind unwirksam, auch wenn sie bislang üblich waren.
Nicht vorgesehen sind Sonderregeln für Unternehmen bei Datentreuhänder-Modellen – hier gelten die allgemeinen Vorgaben zur Datenweitergabe und -verarbeitung. Unternehmen sollten daher Vertragsmuster und AGB gezielt auf Transparenz, FRAND-Konformität und Geheimnisschutz prüfen. Auch Cloud-Anbieter im Mittelstand müssen handeln: Spätestens bis 2027 müssen sie sicherstellen, dass ihre Kundschaft die Daten ohne zusätzliche Kosten zu einem anderen Anbieter migrieren kann.
Nicht zuletzt gilt es, den Schutz von Geschäftsgeheimnissen zu organisieren. Unternehmen sollten frühzeitig identifizieren, welche Daten besonders sensibel sind, und Strategien entwickeln, um diese auch bei einer Datenweitergabe zu schützen – etwa durch Anonymisierung oder vertragliche Auflagen für Dritte.
Tipp: Wer den Data Act im Detail verstehen und erfahren möchte, welche konkreten Auswirkungen er auf den Mittelstand hat, kann das kostenfreie Online-Webinar des Mittelstand-Digital Zentrums Chemnitz besuchen. Das Webinar am 2. Dezember 2025 zeigt praxisnah, wie sich Unternehmen vorbereiten und welche Schritte jetzt sinnvoll sind. Weitere Informationen und die Möglichkeit zur Anmeldung finden sie hier.
Konkrete Handlungsempfehlungen für Unternehmen aus dem Mittelstand
Im ersten Schritt lohnt es sich, die eigene Rolle im Kontext des Data Act zu klären: Bin ich primär Datennutzer oder auch Datenanbieter?
Darauf aufbauend sollten Sie prüfen, welche Produkte oder Dienstleistungen betroffen sind und ob technische Anpassungen notwendig sind. Eine Überprüfung der bestehenden Verträge ist ebenso ratsam wie die Planung von Ressourcen für mögliche Nachrüstungen. Unternehmen, die selbst Cloud-Dienste anbieten, sollten bereits jetzt mit der Entwicklung von Exportfunktionen beginnen und Migrationsszenarien testen.
Darüber hinaus sollten Mitarbeitende vorbereitet werden: Mitarbeitende im Support müssen wissen, wie mit Anfragen zum Datenzugang umzugehen ist. Es empfiehlt sich, interne Prozesse und Kundenportale so auszurichten, dass Zugriffe effizient bearbeitet werden können.
Checkliste: Was müssen Unternehmen jetzt beachten?
Unternehmen – gerade im Mittelstand – müssen sich jetzt auf die neuen Anforderungen vorbereiten. Folgende Schritte sind empfehlenswert:
- Eigene Rolle prüfen: Zunächst sollten Sie analysieren, ob Ihr Unternehmen vom Data Act als Dateninhaber (Hersteller/Anbieter) oder nur als Datennutzer betroffen ist. Stellen Sie fest, welche Ihrer Produkte oder Dienste als “vernetzte Produkte” oder “verbundene Dienste” gelten und somit unter die neuen Zugangsregeln fallen könnten . Falls Sie lediglich Nutzer sind, sollten Sie Ihre Lieferanten im Blick haben – kennen diese schon ihre Pflichten?
- Unternehmensgröße berücksichtigen: Falls Sie <50 Mitarbeitende haben und unter 10 Mio. € Umsatz bleiben, greifen für Sie Ausnahmen bei den Zugangspflichten. Doch Achtung: Wachsen Sie darüber hinaus, gelten die Regeln zeitverzögert auch für Sie. Mittlere Unternehmen sollten die Übergangsfristen nutzen, um bestehende Produkte und Systeme bis 2026 nachzurüsten. Planen Sie ausreichend Ressourcen ein, um Hardware, Firmware oder Software-Updates bereitzustellen, die einen Datenzugriff ermöglichen.
- Technische Voraussetzungen schaffen: Hersteller und IoT-Dienstleister sollten ihre Produkte datenzugänglich gestalten („access by design“). Prüfen Sie, ob Ihre Geräte oder Applikationen bereits eine Schnittstelle oder ein Dashboard haben, über die Nutzer ihre Daten abrufen können. Ggf. entwickeln Sie APIs oder Exportfunktionen, um die Daten maschinenlesbar, strukturiert und sicher bereitzustellen . Denken Sie auch an Echtzeit-Anforderungen: Bei sensiblen Anwendungen könnten Kunden kontinuierlichen Zugriff verlangen .
- Verträge und AGB überprüfen: Gehen Sie Ihre bestehenden Kundenverträge, Nutzungsbedingungen und Lizenzvereinbarungen durch. Klauseln, die Kunden den Datenzugang verwehren oder Ihre Haftung für Datenlieferungen gänzlich ausschließen, sind ab 2025 unwirksam . Passen Sie solche Verträge rechtzeitig an und fügen Sie ggf. Regelungen ein, wie Sie Daten bereitstellen (Format, Frist, eventuelle geringe Gebühr). Auch Verträge mit Dienstleistern sollten Sie prüfen – stellen diese sicher, dass keine Dritten unbefugt auf Ihre Daten zugreifen können (Stichwort: Schutz vor unrechtmäßiger Drittzugriffen)?
- Geschäftsgeheimnisse schützen: Identifizieren Sie intern, welche Ihrer Daten wirklich kritisch sind (z. B., weil sie Rückschlüsse auf Fertigungs-Know-how zulassen). Entwickeln Sie Strategien, um trotz Datenweitergabe Ihre Geheimnisse zu wahren – etwa durch Anonymisierung oder Vertragsauflagen für Datenempfänger (Zweckbindung, NDAs). Der Data Act erlaubt es ausdrücklich, angemessene Schutzmaßnahmen zu ergreifen. Schulen Sie Ihre Mitarbeitenden dazu, keine vertraulichen Informationen unbedacht herauszugeben, sondern immer den formalen Prozess einzuhalten.
- IT und Support vorbereiten: Richtlinien allein genügen nicht – Ihre IT-Systeme und Support-Teams müssen in der Lage sein, Data-Access-Anfragen effizient zu bearbeiten. Richten Sie ggf. ein Kundenportal oder einen Prozess ein, über den Nutzer Daten anfordern können. Stellen Sie sicher, dass Support-Mitarbeiter über die neuen Rechte der Nutzer Bescheid wissen, um korrekt zu reagieren. Transparenz ist hier wichtig: Informieren Sie Kunden bereits bei Kauf oder Vertragsschluss, welche Daten ein Produkt erzeugt und wie diese abgerufen werden können.
- Cloud-Strategie überdenken: Wenn Sie selbst Cloud-Dienste nutzen, überprüfen Sie Ihre Verträge auf Kündigungsfristen und Portabilitätsklauseln. Ab 2025 haben Sie ein Recht auf Wechsel innerhalb von 2 Monaten und auf Herausgabe Ihrer Daten. Planen Sie ggf., diesen Spielraum zu nutzen, um bessere Konditionen zu verhandeln oder zu einem passenderen Anbieter zu wechseln. Wenn Sie selbst SaaS- oder Cloud-Anbieter sind, sollten Sie Ihre Kunden spätestens bis 2027 migrationsfähig machen – entwickeln Sie Exportfunktionen und testen Sie die Datenübertragbarkeit zu anderen Systemen schon jetzt .
Fazit
Der EU Data Act verändert die Spielregeln im europäischen Datenmarkt. Für Unternehmen ist er eine große Chance: mehr Zugang zu Daten, weniger Abhängigkeit von großen Anbietern, neue Möglichkeiten für datenbasierte Geschäftsmodelle. Gleichzeitig verlangt die Verordnung aktive Vorbereitung. Unternehmen, die ihre Produkte, Verträge und IT-Systeme rechtzeitig anpassen, sichern nicht nur die Einhaltung der neuen Regeln, sondern verschaffen sich auch einen Wettbewerbsvorteil.
Wer untätig bleibt, riskiert spürbare Sanktionen. Die Mitgliedstaaten legen die Bußgelder selbst fest; sie müssen wirksam und abschreckend sein. Sind personenbezogene Daten betroffen, können die zuständigen Aufsichtsbehörden Bußgelder nach dem Vorbild der DSGVO verhängen – also bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes.
Für den Mittelstand gilt daher: Nutzen Sie die Übergangsfristen, prüfen Sie Ihre Prozesse und machen Sie Ihr Unternehmen „Data-Act-ready“. So verwandeln Sie regulatorische Pflichten in eine Chance, die digitale Zukunft Ihres Betriebs aktiv zu gestalten.
Tipp: Offizielle Informationen zur nationalen Umsetzung des Data Act, zu Zuständigkeiten und rechtlichen Grundlagen stellt die Bundesnetzagentur auf ihrer Themenseite bereit. Die Seite bietet einen kompakten Überblick über die wichtigsten Regelungen in Deutschland.
—
Text: Alexander Krug
