Data Act & DA-DG: Die neue Spielordnung für Deutschlands digitale Wirtschaft

Der EU Data Act als Verordnung gilt zwar unmittelbar, doch lässt er den Mitgliedstaaten Spielraum bei der institutionellen Ausgestaltung. Das deutsche Durchführungsgesetz füllt diese Lücken. Es regelt primär drei Bereiche:

1. Zuständigkeit: Es benennt die Bundesnetzagentur (BNetzA) als zentralen Datenkoordinator.
2. Sanktionen: Es definiert die Bußgeldhöhen und Befugnisse bei Verstößen.
3. Verfahren: Es legt fest, wie Beschwerden von Nutzern und Unternehmen eingereicht und bearbeitet werden.

Durch das Gesetz wird sichergestellt, dass die theoretischen Ansprüche auf Datenzugang in Deutschland auch praktisch eingeklagt werden können.

Die Reichweite des Gesetzes wird oft unterschätzt. Es betrifft nahezu jedes Unternehmen, das digitale Schnittstellen nutzt oder anbietet:

• Hersteller vernetzter Produkte (IoT): Von der vernetzten Werkzeugmaschine über intelligente Flottenfahrzeuge bis hin zu medizinischen Analysegeräten. Wer Hardware baut, die Daten erfasst, wird zum „Dateninhaber“.
• Anbieter verbundener Dienste: Softwarehäuser, deren Programme direkt mit IoT-Geräten kommunizieren und dabei Daten generieren oder verarbeiten.
• Cloud- und Edge-Provider: Anbieter von Rechenkapazität und Speicherlösungen müssen den Umzug von Daten und Anwendungen radikal vereinfachen.
• B2B-Endnutzer: Unternehmen, die vernetzte Technik leasen oder kaufen. Sie sind die großen Profiteure, da sie erstmals einen echten Rechtsanspruch auf „ihre“ Daten haben.

Das Herzstück der Regulierung ist das Datenzugangsrecht. Nutzer haben nun das Recht, auf die von ihnen generierten Daten zuzugreifen – und zwar ohne unnötige Hürden.

Technical Access by Design

Unternehmen können sich nicht mehr auf technische Unvermögen berufen. Produkte müssen so gestaltet sein, dass Datenexporte „by design“ möglich sind. Das bedeutet in der Praxis:

• Bereitstellung von standardisierten APIs (Schnittstellen).
• Bereitstellung von Daten in Echtzeit, sofern dies technisch machbar ist.
• Eine eindeutige Dokumentation darüber, welche Datenkategorien überhaupt erfasst werden.

Fairness in der B2B-Vergütung

Die Datenherausgabe ist nicht zwingend kostenlos, muss aber fair sein. Das DA-DG und der Data Act schützen insbesondere KMUs: Wenn ein Großkonzern Daten an ein KMU herausgibt, darf die Vergütung lediglich die unmittelbaren Kosten der Bereitstellung decken. Ein Gewinnaufschlag ist gegenüber KMUs untersagt.

Eine der größten Sorgen der deutschen Industrie ist der Abfluss von Know-how. Hier bietet das DA-DG wichtige Schutzmechanismen. Eine Datenherausgabe kann unter bestimmten Bedingungen verweigert oder eingeschränkt werden, wenn nachweislich Geschäftsgeheimnisse gefährdet sind.

Unternehmen müssen jedoch proaktiv handeln: Ein allgemeiner Hinweis auf „Betriebsgeheimnisse“ reicht nicht aus. Es bedarf einer detaillierten Klassifizierung. Wer seine Datenbestände nicht sauber dokumentiert und Schutzmaßnahmen (wie Verschlüsselung oder Vertraulichkeitsvereinbarungen) nachweist, wird es schwer haben, eine Verweigerung vor der Bundesnetzagentur durchzusetzen.

Der Wechsel des Cloud-Anbieters war in der Vergangenheit oft ein kostspieliges und technisch komplexes Unterfangen. Das Gesetz setzt hier klare Grenzen:

• Streichung der Wechselgebühren: Die berüchtigten „Data Egress Fees“, also Gebühren für das Abziehen der eigenen Daten, sind Geschichte.
• Interoperabilitätspflicht: Anbieter müssen sicherstellen, dass Dienste mit denen anderer Anbieter zusammenarbeiten können.
• Vertragliche Standards: Kündigungsfristen und Unterstützungspflichten beim Umzug müssen explizit in den Verträgen verankert sein.

Dies stärkt die Verhandlungsposition von Unternehmen gegenüber globalen Hyperscalern massiv und ermöglicht eine flexiblere Multi-Cloud-Strategie.

Mit dem DA-DG erhält die Bundesnetzagentur (BNetzA) weitreichende Kompetenzen. Sie fungiert als „Aufpasser“ der Datenökonomie. Unternehmen müssen sich auf folgende Szenarien einstellen:

• Auskunftsersuchen: Die Behörde kann Einblick in technische Dokumentationen und Verträge verlangen.
• Schlichtung: Bei Streitigkeiten zwischen Dateninhabern und Nutzern moderiert die BNetzA.
• Sanktionen: Die Bußgelder sind hoch und orientieren sich an der DSGVO. Bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes stehen im Raum. Dies macht das Thema Daten-Compliance zu einer Angelegenheit für die Geschäftsführung (C-Level).

Um im Jahr 2026 rechtskonform und wettbewerbsfähig zu agieren, sollten Unternehmen folgende Roadmap verfolgen:

1. Daten-Audit durchführen: Identifiziere alle Produkte und Dienstleistungen, die Daten im Sinne des Data Acts erzeugen. Wer ist der rechtliche Nutzer?
2. Vertragslandschaft anpassen: Prüfe die AGBs, Einkaufsbedingungen und Serviceverträge. Klauseln, die den Datenzugriff einseitig ausschließen, sind oft unwirksam.
3. API-Strategie implementieren: Investiere in technische Schnittstellen, die einen automatisierten und sicheren Datenfluss ermöglichen.
4. IP-Schutz-Management: Erstelle ein Verzeichnis Ihrer Geschäftsgeheimnisse. Definiere klare Kriterien, wann eine Datenherausgabe zum Schutz des geistigen Eigentums gestoppt werden muss.
5. Governance-Strukturen schaffen: Benenne Verantwortliche für Datenzugriffsanfragen (ähnlich dem Datenschutzbeauftragten), um Fristen und Dokumentationspflichten einzuhalten.
6. Cloud-Lock-in knacken & Wechsel-Check: Check mal deine Cloud-Verträge auf technische oder finanzielle Hürden. Der Data Act macht Schluss mit dem "Vendor-Lock-in" – du musst stressfrei den Anbieter wechseln können. Sorge dafür, dass deine Exit-Strategie steht und keine fiesen Kündigungsbarrieren dich aufhalten.

Pro-Tipp von heyData: Nutze das Vendor Risk Management Tool in der heyData-Plattform, um deine aktuellen Cloud-Anbieter direkt auf ihre "Data Act Ready"-Konformität zu prüfen. So siehst du sofort, wo du beim nächsten Anbieterwechsel vielleicht noch Steine im Weg liegen hast!

Sicherlich bringt das Data Act-Durchführungsgesetz neue regulatorische Lasten mit sich. Doch der Blick auf die Chancen lohnt sich: Die Öffnung der Daten-Silos ermöglicht neue Geschäftsmodelle wie vorausschauende Wartung durch Drittanbieter, datenbasierte Versicherungsmodelle oder effizientes Ressourcenmanagement in der Supply Chain.

Es sorgt dafür, dass der deutsche Mittelstand nicht zum bloßen Datenlieferanten für globale Plattformen degradiert wird, sondern die Kontrolle über seine digitalen Assets behält. Unternehmen, die Transparenz und Portabilität heute als Teil ihres Qualitätsversprechens begreifen, werden das Vertrauen ihrer Kunden gewinnen und die Basis für die industrielle KI-Anwendung von morgen legen.

Gilt das DA-DG auch rückwirkend für alte Maschinen?

In der Regel gilt die Bereitstellungspflicht für Produkte, die nach dem Stichtag im Jahr 2025 in Verkehr gebracht wurden. Bei wesentlichen Software-Updates alter Systeme können jedoch Teilaspekte greifen.

Wie unterscheidet sich der Data Act von der DSGVO?

Die DSGVO schützt natürliche Personen und deren Privatsphäre. Der Data Act (und das DA-DG) regelt primär die wirtschaftliche Nutzung von (meist nicht-personenbezogenen) Daten. Wo beide Bereiche überlappen (z. B. Telematikdaten eines Fahrers), hat die DSGVO stets Vorrang.

Dürfen Daten an außereuropäische Unternehmen weitergegeben werden?

Ja, sofern die Sicherheitsstandards (insbesondere im Hinblick auf den Zugriff durch Drittstaaten-Behörden) gewahrt bleiben. Hier zieht das Durchführungsgesetz in Anlehnung an EU-Vorgaben enge Grenzen zum Schutz der europäischen Datensouveränität.