Regularien
Der EU Data Act und der Weg zur Umsetzung
Die Vorgaben des EU Data Act treten seit September nach und nach in Kraft. Das Gesetz soll den Zugang zu Daten in der EU vereinheitlichen, Innovationen unterstützen und den wirtschaftlichen Wert von Daten besser nutzbar machen. Guido Hansch und Slawa Giterman von Codecentric erläutern die zentralen Anforderungen und Herausforderungen und geben praktische Hinweise für die Umsetzung.
Bild: Codecentric AGMit dem EU Data Act steht die europäische Industrie vor einem Paradigmenwechsel im Umgang mit Daten. Das Gesetz, das am 11. Januar 2024 in Kraft trat und seit dem 12. September 2025 schrittweise Anwendung findet, ist ein zentrales Element der europäischen Datenstrategie. Es betrifft alle Unternehmen, die vernetzte Produkte oder digitale Dienste anbieten - etwa Maschinenbauer, Haushaltsgerätehersteller oder die Automobilindustrie. Ziel ist es, den Zugang zu und die Nutzung von Daten innerhalb der EU zu harmonisieren, Innovation zu fördern und das wirtschaftliche Potenzial industrieller Daten zu erschließen. Die Auswirkungen sind enorm, und laut einer Bitkom-Umfrage hatten im Mai 2025 nur fünf Prozent der deutschen Unternehmen einzelne Vorgaben umgesetzt. Mehr als die Hälfte hielt sich fälschlich für nicht betroffen.
Unterschiedliche Produktgenerationen haben ggf. unterschiedliche Konnektivitätsarchitekturen. - Bild: Codecentric AGWesentliche Anforderungen des EU Data Act
Der EU Data Act stellt hohe Anforderungen an Hersteller vernetzter Produkte und Anbieter digitaler Dienste. Die wichtigsten Regelungen im Überblick:
- • Datenzugang für Nutzer: Nutzer vernetzter Produkte (etwa Fahrzeuge, Maschinen oder IoT-Komponenten) erhalten das Recht, auf die von ihren Geräten erzeugten Nutzungsdaten zuzugreifen oder den Zugriff an Dritte wie Werkstätten oder Serviceanbieter zu übertragen. Die Daten müssen kostenfrei, sicher, möglichst in Echtzeit und in einem maschinenlesbaren Format bereitgestellt werden.
- • Transparenzpflichten: Bereits vor dem Kauf eines Produkts müssen Hersteller verständlich u.a. informieren, welche Daten erzeugt und gespeichert werden, in welchem Format und wo sie abgelegt sind (on-board, Cloud), und wie sie abgerufen und gelöscht werden können.
- • Umgang mit nicht-personenbezogenen Daten: Der Data Act regelt insbesondere den Zugang zu nicht-personenbezogenen Daten wie Sensor-, Betriebs-, Meta- und Diagnosedaten. Der Schutz personenbezogener Daten nach DSGVO bleibt davon unberührt.
- • Datenweitergabe im B2B-Bereich: Der Zugang zu Daten für andere Unternehmen muss unter fairen, angemessenen und nicht diskriminierenden Bedingungen erfolgen. Missbräuchliche Vertragsklauseln mit Nachteilen für Wettbewerber oder Verbraucher sind unzulässig.
- • 'Access by Design': Das Recht auf Datenzugang ist bereits bei der Produktentwicklung zu berücksichtigen.
- • Schutz von Geschäftsgeheimnissen: Trotz der Pflicht zur Datenbereitstellung sind der Schutz von Geschäftsgeheimnissen und geistigem Eigentum sicherzustellen. Hierbei gilt es, Offenheit und Schutz sensibler Informationen ausgewogen zu gestalten.
- • Bereitstellung von Metadaten: Unternehmen müssen Metadaten zu allen relevanten Datenpunkten bereitstellen, damit Nutzer und Dritte die Daten interpretieren können (z.B. Beschreibung, Einheit, Wertebereich).
- • Sanktionen bei Nichteinhaltung: Bei Verstößen drohen Bußgelder von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes.
Technologische und organisatorische Herausforderungen bei der Umsetzung des EU Data Act. - Bild: Codecentric AGHerausforderungen bei der
Umsetzung
Die Umsetzung des EU Data Acts stellt Hersteller vernetzter Produkte vor technische und organisatorische Herausforderungen. Heterogene Systemlandschaften mit unterschiedlichen Produktgenerationen und Konnektivitätsarchitekturen erschweren die Vereinheitlichung der Datenflüsse und die Integration älterer Systeme.
Bei der Datenbereitstellung unterstützen Plattformen, die Daten aus allen Produktmodellen sammeln, verarbeiten und nutzerindividuell für Endnutzer und Dritte bereitstellen.
Hinzu kommt der hohe Aufwand bei der Klassifizierung und Pflege von Metadaten für Tausende Datenpunkte.
Die Balance zwischen Datenzugang und Schutz von Geschäftsgeheimnissen erfordert sowohl technische als auch rechtliche Lösungen.
Außerdem gilt es, B2C- und B2B-Verträge sowie AGBs zu prüfen und anzupassen, um den neuen Transparenz- und Zugangsanforderungen zu genügen.
Mehrstufiger Ansatz zur
- • Früher Projektstart: Die Umsetzung sollte nicht aufgeschoben werden. Ein interdisziplinäres Team aus IT, Recht, Produktmanagement und Vertrieb ist essenziell.
- • Entwicklung einer Datenstrategie: Eingebettet in die Unternehmensstrategie bildet eine gezielte Datenstrategie das Fundament für die Datennutzung. So wirken technologische, rechtliche und geschäftliche Aspekte zusammen und Daten können systematisch als strategischer Unternehmenswert genutzt werden.
- • Zentrale Datenplattform: Der Aufbau einer skalierbaren Datenplattform hilft dabei, Daten aus allen Konnektivitätsarchitekturen zu integrieren. Cloud-Technologien und Datenpipelines (z.B. mit Apache Kafka) ermöglichen die Verarbeitung großer Datenmengen in Echtzeit.
- • API-First-Strategie: Standardisierte Schnittstellen (REST-APIs) für den Datenzugriff, Zugang zu Metadaten sowie das Consent Management sind unerlässlich.
- • Zentrales Metadaten-Repository: Notwendig ist auch ein Repository, das alle Datenpunkte und zugehörigen Metadaten umfasst.
- • Externe Unterstützung: Die Zusammenarbeit mit Beratungs- und Dienstleistungsunternehmen hilft bei der Entwicklung einer Datenstrategie sowie beider Implementierung technischer Systeme.
- • Consent-Management: Ein zentraler Mechanismus, der Nutzern und Geräteverwaltern (z.B. Flottenmanagern im Automobilbereich) die einfache und sichere Erteilung sowie den Widerruf von Zustimmungen ermöglicht, ist essenziell.
- • Iterative Produktentwicklung: Die erste Version einer Data-Act-Plattform dient in der Regel primär der Compliance. Parallel gilt es, neue datenbasierte Services und Geschäftsmodelle zu entwickeln, um das wirtschaftliche Potenzial voll auszuschöpfen.
Chancen des EU Data Act
Neben regulatorischen Anforderungen eröffnet der Data Act Herstellern vernetzter Produkte und ihren Partnern auch Möglichkeiten zur Entwicklung datengetriebener Geschäftsmodelle. Nutzer erhalten das Recht, auf die von ihren Geräten generierten Daten zuzugreifen und diese an Dritte weiterzugeben.
Das unterstützt die Transparenz und fördert Innovationen. Serviceanbieter, Wartungsunternehmen, Energieversorger oder Versicherungen können auf Basis dieser Daten etwa neue Services anbieten - von vorausschauender Wartung bis hin zu individuellen Versicherungsmodellen.
Im B2B-Bereich profitieren Flottenbetreiber oder Betreiber von Maschinenparks, die künftig Daten verschiedener Hersteller zentral auswerten können. Langfristig entstehen so neue Wertschöpfungsketten und Märkte, die insbesondere kleinen und mittleren Unternehmen den Zugang zu Daten 'at cost' ermöglichen, während mit Großkunden zusätzliche Erlöse generiert werden können. Der EU Data Act ist somit kein reines Compliance-Thema, sondern der Startschuss für eine datengetriebene Transformation der Industrie.
Die Vorgaben des EU Data Act treten seit September nach und nach in Kraft. Das Gesetz soll den Zugang zu Daten in der EU vereinheitlichen, Innovationen unterstützen und den wirtschaftlichen Wert von Daten besser nutzbar machen. Guido Hansch und Slawa Giterman von Codecentric erläutern die zentralen Anforderungen und Herausforderungen und geben praktische Hinweise für die Umsetzung.
Bild: Codecentric AGMit dem EU Data Act steht die europäische Industrie vor einem Paradigmenwechsel im Umgang mit Daten. Das Gesetz, das am 11. Januar 2024 in Kraft trat und seit dem 12. September 2025 schrittweise Anwendung findet, ist ein zentrales Element der europäischen Datenstrategie. Es betrifft alle Unternehmen, die vernetzte Produkte oder digitale Dienste anbieten - etwa Maschinenbauer, Haushaltsgerätehersteller oder die Automobilindustrie. Ziel ist es, den Zugang zu und die Nutzung von Daten innerhalb der EU zu harmonisieren, Innovation zu fördern und das wirtschaftliche Potenzial industrieller Daten zu erschließen. Die Auswirkungen sind enorm, und laut einer Bitkom-Umfrage hatten im Mai 2025 nur fünf Prozent der deutschen Unternehmen einzelne Vorgaben umgesetzt. Mehr als die Hälfte hielt sich fälschlich für nicht betroffen.
codecentric AG
Dieser Artikel erscheint in www.it-production.com 2026 - 31.12.26.Für weitere Artikel besuchen Sie www.it-production.com
