Die Verordnung (EU) 2023/2854 schafft unionsweit harmonisierte Regeln für fairen Datenzugang, Interoperabilität und Cloud-Portabilität. Anwendungsbeginn: 12. September 2025. Unmittelbar geltend in allen EU-Mitgliedstaaten.
Der Data Act verfolgt sechs strategische Ziele – von IoT-Datenzugang über B2B/B2G-Bereitstellung bis zu Cloud-Switching und Interoperabilität.
Nutzer erhalten Zugang zu eigenen Daten. Daten, die durch Nutzung verbundener Produkte (IoT) oder Services entstehen, müssen Nutzern zeitnah, kostenfrei, in maschinenlesbaren Formaten bereitgestellt werden. By-Design-Anforderung.
Datenhalter müssen Daten teilen. Auf Nutzerwunsch müssen Daten an Dritte weitergegeben werden – unter fairen, angemessenen, nicht-diskriminierenden Bedingungen (FRAND). Qualitätsparität. Zweckbindung. Keine Dark Patterns.
Öffentliche Stellen bei Notlagen. In außergewöhnlichen Fällen (Naturkatastrophen, Cyber-Incidents, Pandemie) können öffentliche Stellen/EU/EZB Datenzugang verlangen. Strenge Zweckbindung, Anonymisierung, Erasure-Pflicht.
Wechselbarkeit wird Pflicht. Cloud/Edge-Provider müssen Wechsel ermöglichen: offene Schnittstellen, Maschinenformate, dokumentierte Prozesse, funktionale Äquivalenz (min. IaaS). Egress-Gebühren werden schrittweise abgeschafft (nach 3 Jahren: 0€).
EU-harmonisierte Normen. Kommission kann Standards/Common Specifications für Datenräume, Cloud-Interoperabilität mandatieren (z.B. ISO/IEC 19941, EU Cloud Rulebook). Multi-Vendor-Cloud und offene Interop-Spezifikationen werden gefördert.
Unrechtmäßige Zugriffe verhindern. Provider müssen Nicht-Personal-Daten vor unrechtmäßigen Drittstaats-Zugriffen schützen (nur bei Abkommen/Gerichtsbeschlüssen). Verschlüsselung, Audits, Customer-Notification, Challenge-Verfahren.
Nutzer von IoT-Produkten und verbundenen Services erhalten umfassende Datenzugangsrechte – kostenfrei, maschinenlesbar, inkl. Metadaten. By-Design-Anforderung an Hersteller.
Zeitnah & kostenfrei. Nutzer (B2B/B2C) erhalten Zugang zu allen durch Nutzung generierten Daten: Roh- und vorverarbeitete Daten plus Metadaten (Kontext, Timestamp). Strukturierte, gängige, maschinenlesbare Formate (CSV, JSON, Parquet). Abgeleitete/inferierte Daten (proprietäre Algorithmen) ausgenommen.
Vorab-Information verpflichtend. Verkäufer/Hersteller müssen vor Kauf/Miete klar kommunizieren: Welche Daten generiert das Produkt? Typ, Format, Volumen? Wie erfolgt Zugriff/Export (APIs, SDKs, URL, QR)? Änderungen über Lebenszyklus mitteilen.
B2B-Datenzugang via Autorisierung. Nutzer dürfen Dritte autorisieren. Datenhalter müssen Daten in gleicher Qualität bereitstellen wie für eigene Zwecke. Gatekeeper (DMA) explizit ausgeschlossen. Zweckbindung, keine Dark Patterns, Profiling nur wenn streng nötig.
Herausgabe trotz Trade Secrets. Daten mit Geschäftsgeheimnissen sind herauszugeben – aber unter Vertraulichkeits-Safeguards (NDA, Zugriffskontrollen, technische Maßnahmen). Ablehnung nur bei drohendem ernsthaftem wirtschaftlichem Schaden (begründungspflichtig).
Data Act ändert DSGVO nicht. Jede Verarbeitung personenbezogener Daten benötigt gültige Rechtsgrundlage. Ist Nutzer nicht betroffene Person: Data Act schafft keine neue Rechtsgrundlage – Datenhalter kann Daten anonymisieren.
KMU-Schutz. Gegenüber KMU sind einseitig auferlegte unfaire Klauseln zu Datenzugang/-nutzung unverbindlich. Black & Grey Lists presumptiv unfairer Klauseln. Vertragsfairness als Durchsetzungsstandard.
Bei außergewöhnlichem Bedarf können öffentliche Stellen, EU-Kommission, EZB oder Unionsorgane Datenzugang verlangen – unter strengen Auflagen.
Nur bei Notstand/Ausnahmen. Öffentlicher Notstand (Naturkatastrophen, große Cyber-Incidents, Pandemie) oder andere exceptional needs. Keine Routine-Anfragen. Subsidiaritätsprinzip: Daten müssen tatsächlich erforderlich sein.
Personenbezug vermeiden. Personenbezogene Daten möglichst vermeiden bzw. anonymisieren. Nutzung nur für angegebenen Zweck. Keine Weiterverwendung für andere Zwecke. Technische/organisatorische Maßnahmen zum Schutz.
Protokollierung & Löschung. Transparenz über Anfragen, Begründungen, Zweck. Erasure-Pflicht nach Zweckfortfall. Zeitbegrenzung der Nutzung. Dokumentation für spätere Nachprüfbarkeit. Kundenschutz als Priorität.
Bei Nicht-Notfällen. In Nicht-Notfall-Szenarien: Kostenerstattung möglich (tatsächliche Kosten + angemessene Marge). Bei echten Notfällen: keine Kostenerstattung. Kalkulation muss nachvollziehbar sein.
Der Data Act etabliert harte Regeln für Cloud-Wechselbarkeit – von offenen Schnittstellen über Egress-Fee-Abbau bis zu funktionaler Äquivalenz. Lock-in wird systematisch abgebaut.
Cloud/Edge-Kunden müssen wechseln können. Auch Multi-Cloud-Szenarien. Provider müssen Wechsel ermöglichen – ohne unnötige Hürden. Vollständiger Datenexport: Daten, Applikationen, Konfigurationen in maschinenlesbaren Formaten. Metadaten inklusive.
Transparenz vor Vertragsschluss. Provider müssen vor Vertrag informieren: Switching-Prozess, Datenformate, Tools, technische Einschränkungen, Dauer, Kosten. Verständlich, zugänglich, maschinenlesbar. Änderungen rechtzeitig kommunizieren.
Standardisierte APIs verpflichtend. Provider müssen offene, dokumentierte Schnittstellen vorsehen. Keine proprietären Lock-ins. Kompatibilität mit etablierten offenen Spezifikationen für Object Storage, Container-Images, Storage/Network-Interfaces und API-Definitionen. Export-Automation möglich machen.
Mindestens für IaaS. Provider müssen funktionale Äquivalenz für IaaS-Features unterstützen. Ziel-Cloud muss vergleichbare Funktionalität bieten können. Test-Umgebungen für Parallelbetrieb. Keine Vendor-spezifischen Feature-Dependencies.
Schrittweise auf null. Egress-Gebühren und sonstige Switching Charges werden stufenweise abgeschafft. Nach 3 Jahren ab Inkrafttreten (also ab 12.09.2028): 0€ für Switching. Parallelbetrieb kann Kosten-Obergrenzen behalten. Kostenbasierte Transition erlaubt.
Parallelbetrieb ermöglichen. Kunden müssen in der Lage sein, mehrere Provider parallel zu nutzen (Testing, Gradual Migration). Hybrid-Cloud-Szenarien unterstützen. Keine künstlichen Barrieren. Data-Sync zwischen Clouds möglich.
Die EU-Kommission kann Standards und Common Specifications für Datenräume, Cloud-Dienste und Interoperabilität mandatieren. Ziel: Multi-Vendor-Ökosysteme ohne Lock-in.
ISO/IEC 19941 & EU Cloud Rulebook. Kommission referenziert/mandatiert harmonisierte Standards für Cloud-Interoperabilität (z.B. ISO/IEC 19941). EU Cloud Rulebook/Guidance als Implementierungs-Leitfaden. Konformität schafft Rechtssicherheit.
Offene, etablierte Standards bevorzugt. Nutzung herstellerunabhängiger, offener Spezifikationen für Object Storage, Container-Formate, API-Definitionen, Storage- und Network-Interfaces. Cloud-native Standards für Workloads. REST/GraphQL-basierte APIs. Keine proprietären Protokolle ohne offene Alternativen.
Gaia-X, IDSA, European Data Spaces. Standards für Datenräume (Data Spaces) werden harmonisiert. Interoperabilität zwischen Datenräumen fördern. Technische Building Blocks (Trust, Identity, Metadata) standardisieren.
Wo Standards fehlen. Kommission kann Common Specifications erlassen, wenn harmonisierte Normen nicht verfügbar. Verbindliche technische Spezifikationen für Interop-Anforderungen. Erarbeitung über ESOs (CEN, CENELEC, ETSI).
Provider müssen unrechtmäßige Zugriffe durch Drittstaaten auf Nicht-Personal-Daten verhindern. Verschlüsselung, Customer-Notification und Challenge-Verfahren werden Pflicht.
Nur bei Abkommen/Gerichtsbeschlüssen. Drittstaats-Zugriff nur auf Basis internationaler Abkommen oder enger rechtsstaatlicher Kriterien (Gerichtsbeschluss, Verhältnismäßigkeit, Rechtsweggarantien). Keine Blanko-Herausgabe.
Verschlüsselung & Key-Management. State-of-the-Art-Verschlüsselung (at rest, in transit). Customer-Managed Keys (BYOK/BYOHSM). Trennung von Schlüsseln und Daten. Kein Provider-Zugriff auf Kundenschlüssel. Audit-Logs.
Vorab-Information soweit möglich. Provider müssen Kunden über staatliche Zugriffsanfragen informieren – soweit rechtlich zulässig (kein Gag Order). Transparenz über Art, Umfang, Rechtsgrundlage der Anfrage. Challenge-Möglichkeit einräumen.
Anfragen anfechten. Provider müssen unverhältnismäßige/rechtswidrige Anfragen anfechten. Juristische Prüfung vor Herausgabe. Dokumentation der Anfechtung. Eskalation zu Behörden/Datenschutz. Kundenschutz als Priorität.
Unsere Software Delivery Plattform ist auf Data Act-Konformität ausgelegt – von Datenzugangsrechten über offene APIs bis zu transparenten Switching-Prozessen und EU-Datenschutz.
Strukturierte, maschinenlesbare Daten. Standardisierte Export-APIs, OpenAPI-Dokumentation, Schema-Kataloge. Formate: JSON, CSV, Parquet, YAML. Metadaten inklusive (Timestamp, Kontext). Self-Service-Portale für Nutzer. GitOps-Audit-Trail.
Zweckbindung & Zugriffskontrollen. Policy-basierte Durchsetzung von Zweckbindung. Zeitlich/zweckbezogene Freigaben via Tokens/Scopes. “Allow once/while using”-Flows. Logging/Notarization aller Freigaben. Keine Dark Patterns.
NDA & technische Safeguards. Secret-Tagging auf Feldebene, dynamische Maskierung, geschützte Exportpfade. NDA-Flows für sensible Daten. Ablehnungsprozess bei drohendem Schaden (begründet, dokumentiert).
Strukturierte Prüfverfahren. Entscheidungsbäume (Notfall vs. Ausnahme), Zweck-/Erforderlichkeitsprüfung. Anonymisierungspipeline, Erasure-Nachweise, Transparenz-Protokollierung. Kostenkalkulationen für Nicht-Notfälle. Legal-Review-Board.
Vollständige Exit-Runbooks. Export aller digitaler Assets: Daten, Container-Images, IaC, Policies, SBOMs, Signaturen. Standardisierte Formate (YAML/JSON/OCI). Infrastructure-as-Code-Portierung zu anderen Cloud-Providern. Dokumentierte Zeitpläne. Keine Egress-Fees (Data Act-konform).
Offene, herstellerunabhängige Standards. Container-Orchestrierung, Package-Management, API-Spezifikationen, Identity/Authentication-Protokolle, Object-Storage-APIs, Storage/Network-Interfaces. Multi-Vendor-Cloud-fähig. Portierbare Architekturen. Standard-Migrationspfade. ISO/IEC 19941-orientiert. EU Cloud Rulebook-bereit.
Drittland-Zugriff minimieren. EU-Betrieb (Deutschland), EU-Rechenzentren, EU-Jurisdiktion. Customer-Managed Keys (BYOK/BYOHSM). Trennung Schlüssel/Daten. Verschlüsselung at rest/in transit. Challenge-Verfahren für Anfragen. Customer-Notification.
Transparenz & Dokumentation. Detailliertes Switching-Register, Datenkategorien, Formate, Prozesse. Vorab-Information vor Vertrag. Audit-Evidence-Pakete. Behörden-Kontaktmatrix. Vollständige Compliance-Roadmap. Zum Compliance Center.
Turnkey-Konformität. Assessment von Datenzugangsrechten, API-Design-Reviews, Switching-Prozess-Setup, Vertragsklausel-Prüfung (FRAND), Interoperabilitäts-Audits, B2G-Runbook-Implementierung. Unterstützung bei eigener Data Act-Compliance.
Der Data Act ist Teil des EU-Datenstrategie-Ökosystems. Er verzahnt sich mit DORA, CRA, Cloud Sovereignty Framework, NIS-2, GDPR und dem Digital Markets Act (DMA).
Komplementäre Exit-Strategien. DORA fordert IKT-Drittparteirisiko-Management inkl. Exit-Fähigkeit. Data Act liefert technische/vertragliche Instrumente für effektives Switching. Zusammen: resiliente, portable Finanzinfrastrukturen. Mehr zu DORA.
Sichere, interoperable Produkte. CRA fordert Sicherheit über Produktlebenszyklus. Data Act fordert Interoperabilität und Datenportabilität. Zusammen: sichere Produkte mit offenen Schnittstellen – ohne Lock-in. Mehr zu CRA.
Portabilität als Souveränitäts-Enabler. Cloud Sovereignty Framework bewertet Exit-Fähigkeit als Kernelement operationaler Souveränität. Data Act macht diese rechtlich durchsetzbar. EU-Only-Stacks mit standardisierten Exit-Prozessen = maximale Kontrolle. Mehr zum Framework.
Interoperabilität unterstützt Resilienz. NIS-2 fordert BCP/DR und Supply-Chain-Management. Data Act-Portabilität erleichtert Disaster-Recovery und Provider-Switching bei Incidents. Offene Standards reduzieren Vendor-Dependencies. Mehr zu NIS-2.
Datenschutz bleibt vorrangig. Data Act ändert GDPR nicht. Bei personenbezogenen Daten: Rechtsgrundlagen, DPIAs, Betroffenenrechte beachten. Data Act-Datenzugang erfordert GDPR-Konformität. Pseudonymisierung/Anonymisierung als Harmonisierungs-Mittel. Mehr zur GDPR.
Comprehensive Compliance-Ansatz. Wie ayedo Data Act, DORA, CRA, NIS-2, GDPR, ISO 27001 systematisch adressiert. Zertifizierungen, Prozesse, technische Maßnahmen, Audit-Bereitschaft. Vollständige Roadmap. Zur Übersicht.
Der Data Act verändert fundamental Datenmärkte, Cloud-Ökonomie und IoT-Geschäftsmodelle in Europa. Von Lock-in-Strategien bis zu B2G-Pflichten – hier sind die Kernimplikationen.
Portabilität wird durchsetzbar. Cloud-Provider können Kunden nicht mehr über proprietäre Formate, hohe Ausstiegskosten oder fehlende APIs binden. Multi-Cloud-Strategien attraktiver. Wettbewerb auf Qualität/Service, nicht Lock-in.
B2B-Datenwirtschaft ermöglicht. IoT-/Maschinendaten können legal geteilt werden (FRAND-Bedingungen). Aftermarket-Services, Predictive Maintenance, AI-Training profitieren. Neue Geschäftsmodelle jenseits vertikaler Integration entstehen.
Offene Standards setzen sich durch. Proprietäre APIs/Formate verlieren Attraktivität. EU-harmonisierte Normen (ISO/IEC, CEN/CENELEC/ETSI) werden Standard. Datenräume (Gaia-X, IDSA) profitieren. Ecosystem-Denken statt Silos.
Fairness-Prüfung in B2B. Einseitige, unfaire Klauseln (gegenüber KMU) werden unwirksam. Standardverträge müssen überarbeitet werden. FRAND-Prinzipien als Default. KMU erhalten stärkere Verhandlungsposition.
Datenzugang bei Notlagen. Unternehmen müssen auf Exceptional-Need-Anfragen vorbereitet sein: Anonymisierung, Zweckbindung, Erasure, Kostenkalkulation. Neuer Compliance-Bereich neben GDPR/NIS-2. Review-Boards erforderlich.
Multi-Regulierungs-Konformität. Data Act + GDPR + NIS-2 + DORA + CRA = komplexes Compliance-Puzzle. Integrierte Ansätze erforderlich. Audit-Trails, Policy-as-Code, automatisierte Nachweise. Frühzeitige Adopter haben Wettbewerbsvorteil.