Data Act
Fairer Datenzugang & Cloud-Portabilität

Der EU Data Act schafft ein harmonisiertes Regelwerk für fairen Zugang zu und Nutzung von Daten aus IoT-Produkten, stärkt B2B-Datenzugang, vereinfacht Cloud-Switching und baut Lock-in systematisch ab. Ein umfassender Rahmen für datengetriebene Innovation.

Mehr erfahren

Was ist der Data Act?

Die Verordnung (EU) 2023/2854 schafft unionsweit harmonisierte Regeln für fairen Datenzugang, Interoperabilität und Cloud-Portabilität. Anwendungsbeginn: 12. September 2025. Unmittelbar geltend in allen EU-Mitgliedstaaten.

Kernziele des Data Act

Der Data Act verfolgt sechs strategische Ziele – von IoT-Datenzugang über B2B/B2G-Bereitstellung bis zu Cloud-Switching und Interoperabilität.

IoT-Datenzugangsrechte

Nutzer erhalten Zugang zu eigenen Daten. Daten, die durch Nutzung verbundener Produkte (IoT) oder Services entstehen, müssen Nutzern zeitnah, kostenfrei, in maschinenlesbaren Formaten bereitgestellt werden. By-Design-Anforderung.

B2B-Datenzugang (FRAND)

Datenhalter müssen Daten teilen. Auf Nutzerwunsch müssen Daten an Dritte weitergegeben werden – unter fairen, angemessenen, nicht-diskriminierenden Bedingungen (FRAND). Qualitätsparität. Zweckbindung. Keine Dark Patterns.

B2G: Ausnahme-Datenzugang

Öffentliche Stellen bei Notlagen. In außergewöhnlichen Fällen (Naturkatastrophen, Cyber-Incidents, Pandemie) können öffentliche Stellen/EU/EZB Datenzugang verlangen. Strenge Zweckbindung, Anonymisierung, Erasure-Pflicht.

Cloud-Switching ohne Hürden

Wechselbarkeit wird Pflicht. Cloud/Edge-Provider müssen Wechsel ermöglichen: offene Schnittstellen, Maschinenformate, dokumentierte Prozesse, funktionale Äquivalenz (min. IaaS). Egress-Gebühren werden schrittweise abgeschafft (nach 3 Jahren: 0€).

Interoperabilität & Standards

EU-harmonisierte Normen. Kommission kann Standards/Common Specifications für Datenräume, Cloud-Interoperabilität mandatieren (z.B. ISO/IEC 19941, EU Cloud Rulebook). Multi-Vendor-Cloud und offene Interop-Spezifikationen werden gefördert.

Schutz vor Drittlandszugriff

Unrechtmäßige Zugriffe verhindern. Provider müssen Nicht-Personal-Daten vor unrechtmäßigen Drittstaats-Zugriffen schützen (nur bei Abkommen/Gerichtsbeschlüssen). Verschlüsselung, Audits, Customer-Notification, Challenge-Verfahren.

Daten aus verbundenen Produkten (IoT)

Nutzer von IoT-Produkten und verbundenen Services erhalten umfassende Datenzugangsrechte – kostenfrei, maschinenlesbar, inkl. Metadaten. By-Design-Anforderung an Hersteller.

Zugriffsrecht der Nutzer

Zeitnah & kostenfrei. Nutzer (B2B/B2C) erhalten Zugang zu allen durch Nutzung generierten Daten: Roh- und vorverarbeitete Daten plus Metadaten (Kontext, Timestamp). Strukturierte, gängige, maschinenlesbare Formate (CSV, JSON, Parquet). Abgeleitete/inferierte Daten (proprietäre Algorithmen) ausgenommen.

Transparenz vor Vertragsschluss

Vorab-Information verpflichtend. Verkäufer/Hersteller müssen vor Kauf/Miete klar kommunizieren: Welche Daten generiert das Produkt? Typ, Format, Volumen? Wie erfolgt Zugriff/Export (APIs, SDKs, URL, QR)? Änderungen über Lebenszyklus mitteilen.

Drittempfänger auf Nutzer-Wunsch

B2B-Datenzugang via Autorisierung. Nutzer dürfen Dritte autorisieren. Datenhalter müssen Daten in gleicher Qualität bereitstellen wie für eigene Zwecke. Gatekeeper (DMA) explizit ausgeschlossen. Zweckbindung, keine Dark Patterns, Profiling nur wenn streng nötig.

Geschäftsgeheimnisse

Herausgabe trotz Trade Secrets. Daten mit Geschäftsgeheimnissen sind herauszugeben – aber unter Vertraulichkeits-Safeguards (NDA, Zugriffskontrollen, technische Maßnahmen). Ablehnung nur bei drohendem ernsthaftem wirtschaftlichem Schaden (begründungspflichtig).

GDPR-Konformität

Data Act ändert DSGVO nicht. Jede Verarbeitung personenbezogener Daten benötigt gültige Rechtsgrundlage. Ist Nutzer nicht betroffene Person: Data Act schafft keine neue Rechtsgrundlage – Datenhalter kann Daten anonymisieren.

Unfaire B2B-Klauseln

KMU-Schutz. Gegenüber KMU sind einseitig auferlegte unfaire Klauseln zu Datenzugang/-nutzung unverbindlich. Black & Grey Lists presumptiv unfairer Klauseln. Vertragsfairness als Durchsetzungsstandard.

B2G – Datenzugang für öffentliche Stellen

Bei außergewöhnlichem Bedarf können öffentliche Stellen, EU-Kommission, EZB oder Unionsorgane Datenzugang verlangen – unter strengen Auflagen.

Exceptional Need-Kriterien

Nur bei Notstand/Ausnahmen. Öffentlicher Notstand (Naturkatastrophen, große Cyber-Incidents, Pandemie) oder andere exceptional needs. Keine Routine-Anfragen. Subsidiaritätsprinzip: Daten müssen tatsächlich erforderlich sein.

Anonymisierung & Zweckbindung

Personenbezug vermeiden. Personenbezogene Daten möglichst vermeiden bzw. anonymisieren. Nutzung nur für angegebenen Zweck. Keine Weiterverwendung für andere Zwecke. Technische/organisatorische Maßnahmen zum Schutz.

Transparenz & Erasure

Protokollierung & Löschung. Transparenz über Anfragen, Begründungen, Zweck. Erasure-Pflicht nach Zweckfortfall. Zeitbegrenzung der Nutzung. Dokumentation für spätere Nachprüfbarkeit. Kundenschutz als Priorität.

Kostenerstattung

Bei Nicht-Notfällen. In Nicht-Notfall-Szenarien: Kostenerstattung möglich (tatsächliche Kosten + angemessene Marge). Bei echten Notfällen: keine Kostenerstattung. Kalkulation muss nachvollziehbar sein.

Cloud-Switching & Portabilität

Der Data Act etabliert harte Regeln für Cloud-Wechselbarkeit – von offenen Schnittstellen über Egress-Fee-Abbau bis zu funktionaler Äquivalenz. Lock-in wird systematisch abgebaut.

Wechselrecht & Portabilität

Cloud/Edge-Kunden müssen wechseln können. Auch Multi-Cloud-Szenarien. Provider müssen Wechsel ermöglichen – ohne unnötige Hürden. Vollständiger Datenexport: Daten, Applikationen, Konfigurationen in maschinenlesbaren Formaten. Metadaten inklusive.

Vorab-Information

Transparenz vor Vertragsschluss. Provider müssen vor Vertrag informieren: Switching-Prozess, Datenformate, Tools, technische Einschränkungen, Dauer, Kosten. Verständlich, zugänglich, maschinenlesbar. Änderungen rechtzeitig kommunizieren.

Offene Schnittstellen

Standardisierte APIs verpflichtend. Provider müssen offene, dokumentierte Schnittstellen vorsehen. Keine proprietären Lock-ins. Kompatibilität mit etablierten offenen Spezifikationen für Object Storage, Container-Images, Storage/Network-Interfaces und API-Definitionen. Export-Automation möglich machen.

Funktionale Äquivalenz

Mindestens für IaaS. Provider müssen funktionale Äquivalenz für IaaS-Features unterstützen. Ziel-Cloud muss vergleichbare Funktionalität bieten können. Test-Umgebungen für Parallelbetrieb. Keine Vendor-spezifischen Feature-Dependencies.

Egress-Fee-Abbau

Schrittweise auf null. Egress-Gebühren und sonstige Switching Charges werden stufenweise abgeschafft. Nach 3 Jahren ab Inkrafttreten (also ab 12.09.2028): 0€ für Switching. Parallelbetrieb kann Kosten-Obergrenzen behalten. Kostenbasierte Transition erlaubt.

Multi-Cloud-Support

Parallelbetrieb ermöglichen. Kunden müssen in der Lage sein, mehrere Provider parallel zu nutzen (Testing, Gradual Migration). Hybrid-Cloud-Szenarien unterstützen. Keine künstlichen Barrieren. Data-Sync zwischen Clouds möglich.

Interoperabilität & harmonisierte Standards

Die EU-Kommission kann Standards und Common Specifications für Datenräume, Cloud-Dienste und Interoperabilität mandatieren. Ziel: Multi-Vendor-Ökosysteme ohne Lock-in.

EU-harmonisierte Normen

ISO/IEC 19941 & EU Cloud Rulebook. Kommission referenziert/mandatiert harmonisierte Standards für Cloud-Interoperabilität (z.B. ISO/IEC 19941). EU Cloud Rulebook/Guidance als Implementierungs-Leitfaden. Konformität schafft Rechtssicherheit.

Offene Spezifikationen

Offene, etablierte Standards bevorzugt. Nutzung herstellerunabhängiger, offener Spezifikationen für Object Storage, Container-Formate, API-Definitionen, Storage- und Network-Interfaces. Cloud-native Standards für Workloads. REST/GraphQL-basierte APIs. Keine proprietären Protokolle ohne offene Alternativen.

Datenräume-Interoperabilität

Gaia-X, IDSA, European Data Spaces. Standards für Datenräume (Data Spaces) werden harmonisiert. Interoperabilität zwischen Datenräumen fördern. Technische Building Blocks (Trust, Identity, Metadata) standardisieren.

Common Specifications

Wo Standards fehlen. Kommission kann Common Specifications erlassen, wenn harmonisierte Normen nicht verfügbar. Verbindliche technische Spezifikationen für Interop-Anforderungen. Erarbeitung über ESOs (CEN, CENELEC, ETSI).

Schutz vor Drittlandszugriffen

Provider müssen unrechtmäßige Zugriffe durch Drittstaaten auf Nicht-Personal-Daten verhindern. Verschlüsselung, Customer-Notification und Challenge-Verfahren werden Pflicht.

Rechtmäßiger Zugriff

Nur bei Abkommen/Gerichtsbeschlüssen. Drittstaats-Zugriff nur auf Basis internationaler Abkommen oder enger rechtsstaatlicher Kriterien (Gerichtsbeschluss, Verhältnismäßigkeit, Rechtsweggarantien). Keine Blanko-Herausgabe.

Technische Maßnahmen

Verschlüsselung & Key-Management. State-of-the-Art-Verschlüsselung (at rest, in transit). Customer-Managed Keys (BYOK/BYOHSM). Trennung von Schlüsseln und Daten. Kein Provider-Zugriff auf Kundenschlüssel. Audit-Logs.

Customer-Notification

Vorab-Information soweit möglich. Provider müssen Kunden über staatliche Zugriffsanfragen informieren – soweit rechtlich zulässig (kein Gag Order). Transparenz über Art, Umfang, Rechtsgrundlage der Anfrage. Challenge-Möglichkeit einräumen.

Challenge-Verfahren

Anfragen anfechten. Provider müssen unverhältnismäßige/rechtswidrige Anfragen anfechten. Juristische Prüfung vor Herausgabe. Dokumentation der Anfechtung. Eskalation zu Behörden/Datenschutz. Kundenschutz als Priorität.

ayedo und der Data Act

Unsere Software Delivery Plattform ist auf Data Act-Konformität ausgelegt – von Datenzugangsrechten über offene APIs bis zu transparenten Switching-Prozessen und EU-Datenschutz.

API-First & Datenzugang

Strukturierte, maschinenlesbare Daten. Standardisierte Export-APIs, OpenAPI-Dokumentation, Schema-Kataloge. Formate: JSON, CSV, Parquet, YAML. Metadaten inklusive (Timestamp, Kontext). Self-Service-Portale für Nutzer. GitOps-Audit-Trail.

FRAND-konforme Drittfreigaben

Zweckbindung & Zugriffskontrollen. Policy-basierte Durchsetzung von Zweckbindung. Zeitlich/zweckbezogene Freigaben via Tokens/Scopes. “Allow once/while using”-Flows. Logging/Notarization aller Freigaben. Keine Dark Patterns.

Trade-Secret-Schutz

NDA & technische Safeguards. Secret-Tagging auf Feldebene, dynamische Maskierung, geschützte Exportpfade. NDA-Flows für sensible Daten. Ablehnungsprozess bei drohendem Schaden (begründet, dokumentiert).

B2G-Exceptional-Need-Runbook

Strukturierte Prüfverfahren. Entscheidungsbäume (Notfall vs. Ausnahme), Zweck-/Erforderlichkeitsprüfung. Anonymisierungspipeline, Erasure-Nachweise, Transparenz-Protokollierung. Kostenkalkulationen für Nicht-Notfälle. Legal-Review-Board.

Cloud-Switching ohne Hürden

Vollständige Exit-Runbooks. Export aller digitaler Assets: Daten, Container-Images, IaC, Policies, SBOMs, Signaturen. Standardisierte Formate (YAML/JSON/OCI). Infrastructure-as-Code-Portierung zu anderen Cloud-Providern. Dokumentierte Zeitpläne. Keine Egress-Fees (Data Act-konform).

Interoperabilitäts-Standards

Offene, herstellerunabhängige Standards. Container-Orchestrierung, Package-Management, API-Spezifikationen, Identity/Authentication-Protokolle, Object-Storage-APIs, Storage/Network-Interfaces. Multi-Vendor-Cloud-fähig. Portierbare Architekturen. Standard-Migrationspfade. ISO/IEC 19941-orientiert. EU Cloud Rulebook-bereit.

EU-Only & BYOK

Drittland-Zugriff minimieren. EU-Betrieb (Deutschland), EU-Rechenzentren, EU-Jurisdiktion. Customer-Managed Keys (BYOK/BYOHSM). Trennung Schlüssel/Daten. Verschlüsselung at rest/in transit. Challenge-Verfahren für Anfragen. Customer-Notification.

Data Act Compliance Center

Transparenz & Dokumentation. Detailliertes Switching-Register, Datenkategorien, Formate, Prozesse. Vorab-Information vor Vertrag. Audit-Evidence-Pakete. Behörden-Kontaktmatrix. Vollständige Compliance-Roadmap. Zum Compliance Center.

Data Act-Enablement-Pakete

Turnkey-Konformität. Assessment von Datenzugangsrechten, API-Design-Reviews, Switching-Prozess-Setup, Vertragsklausel-Prüfung (FRAND), Interoperabilitäts-Audits, B2G-Runbook-Implementierung. Unterstützung bei eigener Data Act-Compliance.

Data Act im regulatorischen Kontext

Der Data Act ist Teil des EU-Datenstrategie-Ökosystems. Er verzahnt sich mit DORA, CRA, Cloud Sovereignty Framework, NIS-2, GDPR und dem Digital Markets Act (DMA).

Data Act & DORA

Komplementäre Exit-Strategien. DORA fordert IKT-Drittparteirisiko-Management inkl. Exit-Fähigkeit. Data Act liefert technische/vertragliche Instrumente für effektives Switching. Zusammen: resiliente, portable Finanzinfrastrukturen. Mehr zu DORA.

Data Act & Cyber Resilience Act

Sichere, interoperable Produkte. CRA fordert Sicherheit über Produktlebenszyklus. Data Act fordert Interoperabilität und Datenportabilität. Zusammen: sichere Produkte mit offenen Schnittstellen – ohne Lock-in. Mehr zu CRA.

Data Act & Cloud Sovereignty

Portabilität als Souveränitäts-Enabler. Cloud Sovereignty Framework bewertet Exit-Fähigkeit als Kernelement operationaler Souveränität. Data Act macht diese rechtlich durchsetzbar. EU-Only-Stacks mit standardisierten Exit-Prozessen = maximale Kontrolle. Mehr zum Framework.

Data Act & NIS-2

Interoperabilität unterstützt Resilienz. NIS-2 fordert BCP/DR und Supply-Chain-Management. Data Act-Portabilität erleichtert Disaster-Recovery und Provider-Switching bei Incidents. Offene Standards reduzieren Vendor-Dependencies. Mehr zu NIS-2.

Data Act & GDPR

Datenschutz bleibt vorrangig. Data Act ändert GDPR nicht. Bei personenbezogenen Daten: Rechtsgrundlagen, DPIAs, Betroffenenrechte beachten. Data Act-Datenzugang erfordert GDPR-Konformität. Pseudonymisierung/Anonymisierung als Harmonisierungs-Mittel. Mehr zur GDPR.

ayedo Compliance-Übersicht

Comprehensive Compliance-Ansatz. Wie ayedo Data Act, DORA, CRA, NIS-2, GDPR, ISO 27001 systematisch adressiert. Zertifizierungen, Prozesse, technische Maßnahmen, Audit-Bereitschaft. Vollständige Roadmap. Zur Übersicht.

Strategische Implikationen

Der Data Act verändert fundamental Datenmärkte, Cloud-Ökonomie und IoT-Geschäftsmodelle in Europa. Von Lock-in-Strategien bis zu B2G-Pflichten – hier sind die Kernimplikationen.

Ende des Vendor Lock-in

Portabilität wird durchsetzbar. Cloud-Provider können Kunden nicht mehr über proprietäre Formate, hohe Ausstiegskosten oder fehlende APIs binden. Multi-Cloud-Strategien attraktiver. Wettbewerb auf Qualität/Service, nicht Lock-in.

Daten als teilbare Ressource

B2B-Datenwirtschaft ermöglicht. IoT-/Maschinendaten können legal geteilt werden (FRAND-Bedingungen). Aftermarket-Services, Predictive Maintenance, AI-Training profitieren. Neue Geschäftsmodelle jenseits vertikaler Integration entstehen.

Interoperabilität als Norm

Offene Standards setzen sich durch. Proprietäre APIs/Formate verlieren Attraktivität. EU-harmonisierte Normen (ISO/IEC, CEN/CENELEC/ETSI) werden Standard. Datenräume (Gaia-X, IDSA) profitieren. Ecosystem-Denken statt Silos.

Neue Vertragsstandards

Fairness-Prüfung in B2B. Einseitige, unfaire Klauseln (gegenüber KMU) werden unwirksam. Standardverträge müssen überarbeitet werden. FRAND-Prinzipien als Default. KMU erhalten stärkere Verhandlungsposition.

B2G als neue Dimension

Datenzugang bei Notlagen. Unternehmen müssen auf Exceptional-Need-Anfragen vorbereitet sein: Anonymisierung, Zweckbindung, Erasure, Kostenkalkulation. Neuer Compliance-Bereich neben GDPR/NIS-2. Review-Boards erforderlich.

Compliance-Komplexität steigt

Multi-Regulierungs-Konformität. Data Act + GDPR + NIS-2 + DORA + CRA = komplexes Compliance-Puzzle. Integrierte Ansätze erforderlich. Audit-Trails, Policy-as-Code, automatisierte Nachweise. Frühzeitige Adopter haben Wettbewerbsvorteil.