Data Act Beratung Experten PRICOM

Data Act und DORA – Regulierung & Strategie: Ihr Business sichern, neue Chancen nutzen

Strategische Beratung für IoT, Cloud, XaaS, KI und digitale Innovation

Der EU Data Act ist ein echter Gamechanger für datengetriebene Geschäftsmodelle. Er definiert neu, wer auf welche Daten zugreifen darf, ermöglicht den Wechsel zwischen Cloud- und Edge-Services und verändert damit die Spielregeln für Anbieter, Nutzer und Dritte – einschließlich Wettbewerber. Die Auswirkungen betreffen IoT-Produkte, Smart Home Geräte, Cloud-Lösungen und digitale Services gleichermaßen – seit September 2025 anwendbar.

Wir helfen Ihnen, Ihr Geschäftsmodell sicher und zukunftsfähig zu gestalten – und gleichzeitig neue Wachstumschancen zu nutzen: von der IoT-Datennutzung über Cloud- und XaaS-Angebote bis hin zur Integration von KI-Lösungen.

Sind Sie vom Data Act betroffen und sind Sie vorbereitet?

Kostenloser Data Act Anwendbarkeits-Check *Kostenlose Reifegrad-Analyse *Persönliche Beratung anfragen

* Prüfen Sie in je 5 Minuten kostenlos Ihre Betroffenheit und Ihren Reifegrad

Unsere Leistungen für Ihren Wettbewerbsvorteil

  • Zukunftsfähige Geschäftsmodelle

    Anpassung Ihrer Produkte und Services an die Anforderungen aus Data Act, DMA und AI Act – mit Fokus auf wirtschaftliche Machbarkeit und Marktchancen.

  • Schutz Ihrer Werte

    Sicherung Ihres geistigen Eigentums, Ihrer Geschäftsgeheimnisse und proprietären Geschäftsmodelle im Kontext erweiterter Datenzugangsrechte – auch gegenüber Wettbewerbern.

  • Datenwertschöpfung & Zugangsrechte

    Offensive und defensive Datenstrategien zum Schutz eigener Daten und Erschließung neuer Nutzungspotenziale. Vertragsgestaltung für Datenzugang, Lizenzen und faire Vergütungsmodelle

  • IoT, Cloud & XaaS

    Nutzung der Chancen aus reguliertem Datenzugang und Switching-Rechten – für mehr Kundenbindung, Interoperabilität und Wettbewerbsvorteile. Access-by-Design-Implementierung für vernetzte Produkte.

  • Cloud- & Edge-Services – Switching-Strategie

    Kündigung und Datenübertragung (Transition) zu neuem Dienstleister strategisch und effizient managen. Wechselrechte proaktiv gestalten, Vendor Lock-in vermeiden, Business Continuity und Unterstützungspflichten während Transition sicherstellen. Sicherung von exportierbaren Daten, digitalen Assets und funktionaler Äquivalenz beim Anbieterwechsel.

  • KI-Integration

    Datenrechtlich sichere Einbindung von KI in Geschäftsprozesse und Produktentwicklung – für intelligente, skalierbare Lösungen unter Berücksichtigung des AI Act.

Ihre Experten mit nachgewiesener Data-Act-Kompetenz

Von der Strategie bis zur Umsetzung – wir begleiten Sie durch die
Data-Act-Transformation.

  • Autoren anerkannter Praxisleitfäden zum Data Act (u.a. Bitkom) und Speaker auf Fachkonferenzen
  • Jahrzehntelange Erfahrung in Daten-, Technologie- und Vertragsrecht
  • Praxiserprobte Lösungen für IoT, Cloud, XaaS und KI-Geschäftsmodelle

FAQ

Der Data Act ist eine EU-Verordnung, die den fairen Zugang zu und die Nutzung von industriellen Daten regelt.

Die Verordnung trat am 11. Januar 2024 in Kraft und ist seit dem 12. September 2025 verbindlich anwendbar.

Der Data Act legt fest, wer welche Daten unter welchen Bedingungen nutzen darf, und schafft damit einen rechtlichen Rahmen für den Datenaustausch zwischen Unternehmen (B2B), zwischen Unternehmen und Verbrauchern (B2C) sowie zwischen Unternehmen und Behörden (B2G).

Der Data Act betrifft insbesondere Hersteller vernetzter Produkte und Anbieter verbundener Dienste, Cloud- und Edge-Service-Provider sowie Dateninhaber. Das Gesetz gilt nach dem Marktortprinzip – der Unternehmenssitz ist unerheblich. Entscheidend ist, ob Produkte oder Dienste in der EU in den Verkehr gebracht werden. Der Anwendungsbereich ist sehr weit gefasst und umfasst unter anderem:

    • Vernetzte Fahrzeuge und Automobilsysteme (Connected Cars, Telematik)
    • Wearables und Fitness-Tracker
    • Landwirtschaftliche Maschinen und Präzisionslandwirtschaft
    • Smart TVs und Consumer Electronics
    • Energie- und Versorgungssysteme (Smart Meter, Energiemanagementsysteme)
    • Robotik und Automatisierungssysteme
    • Cloud-Dienste, SaaS-Anwendungen, Platform-as-a-Service (PaaS)
    • Virtual Reality (VR) und Augmented Reality (AR) Geräte
    • Smart Home Geräte (intelligente Thermostate, Beleuchtung, Sicherheitssysteme)
    • Industriemaschinen und Fertigungsanlagen (Industrial IoT)
    • Medizinische Geräte und Health-Monitoring-Systeme
    • Haushaltsgeräte mit Internetverbindung (Kühlschränke, Waschmaschinen)
    • Logistik- und Flottenmanagement-Systeme
    • Building Management Systeme (Gebäudeautomation)
    • Edge Computing Services
    • Drohnen und unbemannte Luftfahrtsysteme

Kleinstunternehmen und kleine Unternehmen sind von den Datenweitergabepflichten (Kapitel II) befreit. Mittlere Unternehmen erhalten eine einjährige Übergangsfrist sowohl ab dem Zeitpunkt, an dem sie den Status “mittleres Unternehmen” erreichen, als auch ab dem Zeitpunkt, an dem ein Produkt in den Verkehr gebracht wird.

Nutzer vernetzter Produkte haben das Recht, kostenlos, unverzüglich und kontinuierlich auf alle bei der Nutzung entstehenden Daten zuzugreifen. Die Daten müssen in einem strukturierten, gängigen und maschinenlesbaren Format bereitgestellt werden. Der Data Act unterscheidet drei zentrale Übermittlungsszenarien:

    • Übermittlung der Nutzerdaten des Dateninhabers selbst: Der Nutzer erhält direkten Zugriff auf seine eigenen Daten.
    • Übermittlung der Nutzerdaten von Dateninhaber auf Weisung des Nutzers an Dritte (“Datenempfänger”): Der Nutzer kann verlangen, dass der Dateninhaber die Daten an Dritte weitergibt – auch an Wettbewerber des Dateninhabers. Dies ermöglicht diesen Datenempfänger neue Geschäftsmodelle und Aftermarket-Services, birgt jedoch erhebliche Risiken für den Dateninhaber, insbesondere bei der Weitergabe an Konkurrenten.
    • Übermittlung von Dateninhaber an Behörde in Notstandssituation: In außergewöhnlichen Notlagen (z.B. Naturkatastrophen, Pandemien) können Behörden die unentgeltliche Herausgabe bestimmter nicht-personenbezogener Daten verlangen.

Die Bestimmung, wer im Einzelfall als Nutzer (User), Dateninhaber (Data Holder) oder Datenempfänger gilt, ist in der Praxis oft hochkomplex und führt zu erheblichen Abgrenzungsschwierigkeiten. Ein Unternehmen kann gleichzeitig mehrere Rollen innehaben und je nach Konstellation unterschiedliche Rechte und Pflichten haben.

Im Automobil-Leasing zeigt sich diese Komplexität exemplarisch: Der Fahrzeughersteller ist Dateninhaber für die vom Fahrzeug generierten technischen Daten, da er die Datenerfassung und Backend-Systeme kontrolliert.

Die Leasinggesellschaft nimmt eine Doppelrolle ein – sie ist sowohl Nutzer (als Eigentümerin mit Datenzugangsrechten gegenüber dem Hersteller) als auch Dateninhaber (für eigene Flottenmanagementdaten und weiterverarbeitete Fahrzeugdaten).

Der Leasingnehmer ist ebenfalls User mit eigenständigen Datenzugangsrechten, obwohl ihm nur temporäre Nutzungsrechte vertraglich übertragen wurden.

Ungeklärt ist die Rolle des Ehepartners oder anderer Familienangehöriger, die das Fahrzeug faktisch täglich nutzen, aber keine vertragliche Beziehung zum Leasinggeber haben – sind sie ebenfalls User mit eigenen Datenzugangsrechten oder lediglich indirekt über den Leasingnehmer berechtigt?

Dritte wie Versicherungen, unabhängige Werkstätten oder Konkurrenzhersteller sind potentielle Datenempfänger und können auf Verlangen des Nutzers Datenzugang verlangen.

Diese Mehrfachrollenkonstellation erfordert eine präzise vertragliche und technische Abgrenzung der Datenflüsse, Zuständigkeiten und Verantwortlichkeiten in jedem einzelnen Geschäftsverhältnis.

Die Pflicht zur Datenbereitstellung an Dritte – einschließlich direkter Wettbewerber – stellt eines der größten kommerziellen Risiken des Data Act dar. Konkurrenten erhalten Zugang zu wertvollen Betriebs-, Nutzungs- und technischen Daten, die für die Entwicklung konkurrierender Produkte, Services oder Geschäftsmodelle genutzt werden könnten.

Trotz vertraglicher Schutzklauseln besteht das Risiko der missbräuchlichen Verwendung, da gegebenenfalls auch Geschäftsgeheimnisse offengelegt werden müssen und die Durchsetzung von Schutzrechten komplex ist. Verschärfend kommt hinzu, dass Dateninhaber für die B2B-Datenbereitstellung nur eine Vergütung nach FRAND-Prinzipien (Fair, Reasonable and Non-Discriminatory) verlangen dürfen.

Diese muss angemessen, diskriminierungsfrei und verhältnismäßig sein – oft nur kostendeckend. Bei Kleinstunternehmen als Empfänger dürfen die Kosten sogar nur das abdecken, was für die Erhebung und Bereitstellung der Daten notwendig ist. Dies verhindert die Monetarisierung des eigentlichen Datenwerts und schwächt die Wettbewerbsposition des Dateninhabers erheblich.

Cloud-Anbieter müssen den Wechsel zwischen Diensten (“Cloud Switching”) erleichtern und Interoperabilität gewährleisten. Dies umfasst die Bereitstellung exportierbarer Daten, die Sicherstellung funktionaler Äquivalenz beim Anbieterwechsel sowie Unterstützungspflichten während der Transition. Ab dem 12. Januar 2027 dürfen für den Anbieterwechsel keine Wechselentgelte mehr erhoben werden. Ziel ist es, Vendor Lock-in-Effekte zu vermeiden und Business Continuity zu sichern. 

Besonders kritisch ist die neue Kündigungsregelung: Verträge mit Mindestlaufzeiten dürfen künftig mit einer Frist von nur 30 Tagen gekündigt werden. Diese Regelung zeigt die Zielkonflikte des Data Act zwischen Nutzerfreiheit und Anbieterinteressen deutlich auf:

Vorteile für Nutzer: Erhöhte Flexibilität und Wahlfreiheit, schneller Wechsel zu besseren oder günstigeren Anbietern, Reduzierung der Abhängigkeit von einzelnen Dienstleistern, gestärkte Verhandlungsposition gegenüber Anbietern, Förderung des Wettbewerbs durch niedrige Wechselbarrieren.

Nachteile für Service-Anbieter: Der Annual Recurring Revenue (ARR) wird unzuverlässig, langfristige Planungssicherheit entfällt vollständig, erhebliche Investitionen in Infrastruktur, Entwicklung, Innovation und Kundenakquise können nicht mehr über die ursprünglich kalkulierten Vertragslaufzeiten amortisiert werden. Dies untergräbt die Wirtschaftlichkeit von Cloud-Geschäftsmodellen fundamental, gefährdet Innovationsinvestitionen und zwingt Anbieter zu defensiven Pricing- und Investitionsstrategien. Besonders Start-ups und Scale-ups, die auf planbare Umsätze für Finanzierung und Wachstum angewiesen sind, werden strukturell benachteiligt.

Paradoxe Preiseffekte: Obwohl der Data Act mehr Wettbewerb und niedrigere Preise fördern soll, kann die 30-Tage-Kündigungsfrist gerade bei marktmächtigen Anbietern zu höheren Preisen führen. Diese könnten das Risiko frühzeitiger Kündigungen und entgangener Amortisation von Beginn an durch höhere Preise, Risikoaufschläge oder kürzere Investitionszyklen kompensieren. Nutzer würden dann paradoxerweise mehr bezahlen für die gewonnene Flexibilität. Kleinere Anbieter ohne entsprechende Marktmacht könnten gezwungen sein, ihre Preise ebenfalls zu erhöhen oder ganz aus dem Markt auszuscheiden, was mittelfristig zu weniger Wettbewerb und einer Marktkonzentration bei großen, kapitalkräftigen Anbietern führen könnte – das Gegenteil des eigentlichen Ziels des Data Act.

Der Data Act gilt neben der DSGVO und ersetzt diese nicht. Während die DSGVO personenbezogene Daten schützt, regelt der Data Act den Zugang zu allen Daten – personenbezogen und nicht-personenbezogen. Bei personenbezogenen Daten müssen beide Verordnungen parallel beachtet werden, was zu erheblichen Rechtsunsicherheiten und praktischen Problemen führt. 

Ein fundamentaler Widerspruch besteht darin, dass der Data Act in bestimmten Konstellationen die Herausgabe von Daten verpflichtend vorschreibt (insbesondere bei Weitergabe an Dritte auf Nutzerweisung), während die DSGVO die Verarbeitung und Weitergabe personenbezogener Daten streng reguliert und in vielen Fällen verbietet. Der Data Act kann nicht als eigenständige Rechtsgrundlage für die Verarbeitung personenbezogener Daten nach Art. 6 DSGVO dienen – es muss stets eine zusätzliche datenschutzrechtliche Rechtsgrundlage vorliegen. 

Besonders problematisch: Wenn ein Nutzer (der nicht die betroffene Person ist) personenbezogene Daten Dritter an Wettbewerber weitergeben lassen möchte, entsteht ein Dilemma zwischen der Herausgabepflicht nach Data Act und dem Verarbeitungsverbot nach DSGVO. Diese ungeklärten Überschneidungen schaffen ein Haftungsdilemma, bei dem Unternehmen gleichzeitig gegen beide Verordnungen verstoßen können. Eine sorgfältige Datenklassifizierung, strikte Trennung personenbezogener und nicht-personenbezogener Daten sowie eine dokumentierte Compliance-Strategie sind daher zwingend erforderlich.

Bei Verstößen gegen den Data Act können empfindliche Bußgelder verhängt werden. Die EU-Mitgliedstaaten legen die konkreten Sanktionen fest, die jedoch wirksam, verhältnismäßig und abschreckend sein müssen.

In Deutschland sind Bußgelder von bis zu 500.000 Euro vorgesehen, für Gatekeeper nach dem Digital Markets Act sogar bis zu 4 % des in der EU erzielten Jahresumsatzes. Diese Sanktionen orientieren sich an der DSGVO und können bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen.

Unternehmen sollten umgehend eine Bestandsaufnahme durchführen und identifizieren, welche Produkte und Dienste unter den Data Act fallen. Erforderlich sind eine vollständige Datenklassifizierung (personenbezogen vs. nicht-personenbezogen), die Anpassung von Produkten zur Access-by-Design-Implementierung, die Überarbeitung von Verträgen und AGB sowie die Entwicklung von Prozessen für Datenzugangsanfragen.

Zudem müssen Informationspflichten gegenüber Nutzern erfüllt, robuste Schutzmaßnahmen für Geschäftsgeheimnisse etabliert (NDAs, technische Schutzmaßnahmen, Dokumentation) und FRAND-konforme Vergütungsmodelle für die B2B-Datenbereitstellung entwickelt werden.

Cloud- und Service-Provider müssen ihre Geschäftsmodelle auf die 30-Tage-Kündigungsfrist und wegfallende Wechselentgelte anpassen. Eine frühzeitige strategische Planung, die sowohl Data Act als auch DSGVO-Anforderungen integriert, minimiert das doppelte Haftungsrisiko und ermöglicht neue Geschäftschancen.

Kostenloser Data Act Anwendbarkeits-Check *Kostenlose Reifegrad-Analyse *Persönliche Beratung anfragen

* Prüfen Sie in je 5 Minuten kostenlos Ihre Betroffenheit und Ihren Reifegrad

DORA (Digital Operational Resilience Act) – Faire Balance bei Compliance

Betrifft DORA Sie als Dienstleister der Finanzbranche?

DORA fasst die Anforderungen an Cybersicherheit, den Umgang mit IKT-Risiken und die digitale Resilienz von Finanzunternehmen zusammen.

DORA verpflichtet Finanzunternehmen zum IKT-Risikomanagement, zur Behandlung und Meldung von IKT-Vorfällen, zum Testen der digitalen Resilienz einschließlich Penetrationstests, zum Management des IKT-Drittparteienrisikos sowie zur Überwachung kritischer IKT-Drittdienstleister.

DORA gilt direkt für Finanzinstitute (Banken, Versicherungen, Zahlungsdienstleister) – ihre IKT-Drittdienstleister sind jedoch mittelbar betroffen. Die konkreten Anforderungen ergeben sich aus den Mindestvertragsinhalten nach Art. 30 DORA, die durch die Delegierte Verordnung (EU) 2024/1773 (RTS) konkretisiert werden.

Finanzunternehmen bleiben vollständig verantwortlich für alle DORA-Pflichten und können sich nicht durch Verträge enthaften. Sie müssen Strategie, Risikoanalyse, Überwachung und Ausstiegspläne selbst leisten, während der IKT-Dienstleister die operative Umsetzung übernimmt.

Viele Institute versuchen fälschlicherweise, sämtliche DORA-Pflichten vertraglich weiterzugeben. Das führt zu unrealistischen Verträgen, die Dienstleister kaum erfüllen können, zu höheren Kosten und Compliance-Lücken – da die Gesamtverantwortung beim Institut verbleibt.

Erfolgreiche DORA-Umsetzung erfordert daher partnerschaftliche Zusammenarbeit mit klarer Aufgabenverteilung gemäß BaFin-Vorgaben.

PRICOM - pragmatische Experten für Datenschutz, KI-Compliance, Data Act, NIS2, IT-Security

Unsere Leistungen für IKT-Dienstleister um Ihr Business zu schützen und zu ermöglichen

Wir unterstützen Sie dabei, DORA-Anforderungen effizient umzusetzen – ohne Ihr Geschäftsmodell zu gefährden. Unser Fokus liegt darauf, Risiken zu beherrschen, Verträge fair zu gestalten und Ihre Kundenbeziehungen zu sichern.

  • DORA-Relevanzanalyse

    Wir identifizieren, welche Anforderungen tatsächlich für Sie gelten – und welche über das gesetzlich Notwendige hinausgehen.

  • Leistungsabgrenzung

    Wir helfen präzise zu bestimmen, welche Pflichten Sie übernehmen müssen – und welche Verantwortung beim Finanzinstitut verbleibt.

  • Beratung zu angemessenen Maßnahmen

    Wir zeigen, welche Schritte wirtschaftlich sinnvoll, regulatorisch erforderlich und mit Ihrem Geschäftsmodell vereinbar sind.

  • IKT-Drittparteienrisikomanagement und Mindestvertragsinhalte

    Wir beraten, wie Sie die Erwartungen der Finanzinstitute erfüllen können – mit klar definierten, erfüllbaren und risikoadäquaten Mindestvertragsinhalten.

  • Risikominimierung

    Wir zeigen auf, wo unverhältnismäßige Risiken drohen, und entwickeln praxisnahe Strategien, um diese zu vermeiden

  • Vertragsgestaltung und -verhandlung

    Wir prüfen und verhandeln Ihre Verträge – mit klarer Verantwortungsabgrenzung, fairen Klauseln und praktikablen Bedingungen.

Unsere DORA-Expertise – doppelte Perspektive für praxisnahe Lösungen

Unsere Geschäftsführung verfügt über langjährige Erfahrung auf beiden Seiten – in der Finanzindustrie ebenso wie bei IKT-Dienstleistern.
Diese Kombination ermöglicht es uns, die Erwartungen der Finanzinstitute genau zu verstehen und gleichzeitig die wirtschaftlichen Realitäten der Dienstleister im Blick zu behalten.
So entstehen Lösungen, die rechtssicher, geschäftsorientiert und partnerschaftlich sind – damit Sie Compliance erfüllen und Ihr Business erfolgreich weiterentwickeln können.

Jetzt DORA Beratung anfragen
EU Data Act Anwendbarkeitscheck

EU Data Act Anwendbarkeitscheck

Viele Pflichten des Data Act gelten bereits seit dem 12. September 2025 – andere treten am 12.09.2026 in Kraft – die Zeit zur Umsetzung drängt.
Data Act Compliance ist dabei keine isolierte IT-Aufgabe, sondern eine interdisziplinäre Herausforderung: Die Anforderungen greifen tief in technische Produkt- und Dienstgestaltung, Verträge, operative Prozesse und kommerzielle Aspekte ein – branchenübergreifend für Hersteller, Anbieter, Nutzer und Datenempfänger.

Mit diesem kompakten Selbstcheck prüfen Sie in wenigen Minuten, ob und in welchem Umfang der EU Data Act auf Ihr Unternehmen, Ihre Produkte und Ihre digitalen Dienste anwendbar ist.

Beantworten Sie die folgenden Fragen ehrlich und vollständig. Die Erklärungen unter jeder Frage helfen Ihnen bei der Beantwortung.
Sie erhalten direkt nach Ihren Eingaben eine Bewertung/Einschätzung angezeigt.

Die Ergebnisse basieren auf Ihren Angaben und stellen eine erste Orientierung dar – keine abschließende oder rechtsverbindliche Beurteilung.

Aufgrund der Komplexität des Data Act sind für eine verlässliche präzise Bewertung weitere Details zu Ihrem Unternehmen, Ihren Produkten, Diensten und Ihrer konkreten Situation erforderlich. Wir unterstützen Sie dabei – von der ersten Einschätzung über die strategische Planung bis zur pragmatischen und effizienten Umsetzung.
Sprechen Sie uns unverbindlich und vertraulich an: per E-Mail an info@pri-com.de oder über das Kontaktformular.

Ihr PRICOM Team.

Hinweis: Bei bestimmten Browsern (z.B. DuckDuckGo) kann es zu Problemen mit dem JavaScript kommen. Dann bitte Google Chrome oder Safari verwenden.

0% fertig
1 von 6
1. Mitarbeiteranzahl und Jahresumsatz: Wie viele Mitarbeiter beschäftigt Ihr Unternehmen (inkl. verbundener Partnerunternehmen) und wie hoch ist der globale Jahresumsatz?
2. Falls Sie ein mittleres Unternehmen sind (50-249 Mitarbeiter): Entsprechen Sie dieser Definition seit weniger als einem Jahr?
Erklärung: Neue mittlere Unternehmen (seit weniger als 1 Jahr) und ihre neu auf den Markt gebrachten Produkte (seit weniger als 1 Jahr) profitieren von Übergangsfristen.
Data Act Reifegrad Analyse

Data Act Reifegrad Analyse

Hat der Anwendbarkeitscheck ergeben, dass Ihr Unternehmen in den Anwendungsbereich des EU Data Act fällt, dient diese EU Data Act Reifegrad-Analyse der Bestimmung Ihres aktuellen Umsetzungsreifegrads.
Viele Pflichten des Data Act gelten bereits seit dem 12. September 2025 – die Zeit zur Umsetzung drängt.

Data Act Umsetzung ist keine isolierte IT-Aufgabe, sondern eine interdisziplinäre komplexe Herausforderung:
Die Umsetzung greift tief in technische Produkt- und Dienstgestaltung, Verträge, operative Prozesse und kommerzielle Aspekte ein – branchenübergreifend für Hersteller, Anbieter, Nutzer und Datenempfänger.

Ziel dieser nicht abschließenden Analyse ist es, kritische Lücken zu identifizieren und die wichtigsten pragmatischen Schritte für Anpassungen an Produkten, verbundenen Diensten, Verträgen, Geschäftsprozessen und Vergütungsmodellen aufzuzeigen.
Die Reifegrad-Analyse konzentriert sich auf die geschäftskritischen Anforderungen: technisch operative Umsetzung des Datenzugangs, Schutz von geistigem Eigentum und Geschäftsgeheimnissen, Vertragsgestaltung, Datenstrategien und kommerzielle Aspekte, Cloud- und Switching-Rechte sowie interne Governance.

Bitte beantworten Sie die folgenden Fragen ehrlich und vollständig. Die Erläuterungen helfen bei der Einordnung. Je präziser Ihre Antworten, desto gezielter können wir helfen Ihre nächsten Schritte richtig zu priorisieren.

Am Ende erhalten Sie ein Kurzergebnis angezeigt und per E-Mail eine detaillierte Reifegrad-Bewertung mit konkreten pragmatischen Prioritäts-Maßnahmen.

Weitere Hilfe bietet unser Praxisleitfaden zum EU Data Act – mit konkreten Praxistipps zu Datenzugangspflichten, Datennutzungsverträgen, Vertragsklauseln und dem Wechsel von Datenverarbeitungsdiensten.

Von der Strategie bis zur Umsetzung: Wir begleiten Sie bei der Data-Act-Transformation:

Sprechen Sie uns unverbindlich und vertraulich an: per E-Mail an info@pri-com.de oder über das Kontaktformular.
Ihr PRICOM Team.

1. Dateninventar und Dokumentation der Datenflüsse: Haben Sie eine Übersicht (Inventar) Ihrer Produkte und Dienste sowie eine Dokumentation der zugehörigen Datenflüsse erstellt?
2. Abgrenzung von Rohdaten vs. abgeleiteten Daten: Haben Sie eine klare Definition und Dokumentation darüber erstellt, welche Daten "Rohdaten" sind und bei welchen Daten es sich um durch (hohe) Investments abgeleitete/veredelte Informationen handelt?
Erklärung: Der Data Act verpflichtet zur Herausgabe von Daten der Stufe 1 (Rohdaten) und Stufe 2 (aufbereitete Daten). Er soll jedoch nicht dazu dienen, Ihre geistigen Investitionen in komplexe Daten (Stufe 3) gratis preiszugeben. Eine rechtssichere Verteidigungsstrategie erfordert eine präzise Trennung: Herausgabepflicht: Was ist ein "generiertes Signal" oder eine "einfache Aufbereitung" zur Lesbarkeit? Schutzbereich: Was ist ein "proprietäres Ergebnis" (Inferences), das durch komplexe Algorithmen und erhebliche Investitionen (KI-Training, Know-how) erst geschaffen wurde? Ohne diese Dokumentation riskieren Sie, bei Anfragen auch wertvolles geistiges Eigentum offenlegen zu müssen.
3. Design-Pflichten und technische Umsetzung: Haben Sie bei der Entwicklung Ihrer vernetzten Produkte/Dienste bereits berücksichtigt, dass Nutzer Zugang zu den generierten Daten haben müssen (Access by Design)? 3. Enthalten Ihre Produkte Sensoren, Software oder andere digitale Technologien, die Daten über Nutzung oder Umgebung generieren?
Erklärung: "Access by Design" bedeutet, dass der Datenzugang von Anfang an in die Produktentwicklung integriert wird - ähnlich wie "Privacy by Design" beim Datenschutz. Für Produkte, die nach dem 12. September 2026 in Verkehr gebracht werden, ist dies verpflichtend. Der Datenzugang muss standardmäßig aktiviert sein (by default).
4. Ist der Datenzugang für Nutzer einfach, sicher und kostenlos möglich?
Erklärung: Der Data Act verlangt: Einfach: Ohne unverhältnismäßigen Aufwand, keine besonderen technischen Kenntnisse erforderlich Sicher: Authentifizierung, Verschlüsselung, Zugriffskontrolle implementiert Kostenlos: Nutzer dürfen für Zugang zu "ihren" Daten nicht zur Kasse gebeten werden.
5. Können Nutzer direkt am Produkt auf Daten zugreifen oder haben Sie APIs/Schnittstellen implementiert?
Erklärung: Der Datenzugang kann erfolgen über: Direkter Zugriff am Gerät (Display, lokale Schnittstelle, USB, Bluetooth) APIs (Programmierschnittstellen) für automatisierten Zugriff Web-Portale oder Apps Download-Funktionen APIs sind besonders wichtig für B2B-Szenarien und Datenweitergabe an Dritte.
6. In welchem Format stellen Sie die Daten bereit?
Erklärung: Der Data Act verlangt strukturierte, gängige und maschinenlesbare Formate. Wichtig für die Weiterverarbeitung durch Nutzer oder Dritte.
7. Stellen Sie zusammen mit den Rohdaten auch relevante Metadaten bereit?
Erklärung: Metadaten sind für die Interpretation und Nutzung der Daten erforderlich: Zeitstempel (wann wurden Daten erfasst?); Kontextinformationen (Bedingungen der Erfassung); Datenstruktur und Einheiten (Format, Maßeinheiten); Qualitätsinformationen (Genauigkeit, Zuverlässigkeit); Geräteinformationen (Sensor, Modell).
8. Nutzerkonto-System: Haben Sie ein Nutzerkonto-System implementiert?
Erklärung: Ein Nutzerkonto ermöglicht die Identifizierung und Authentifizierung von Nutzern und ist typischerweise für die Verwaltung von Datenzugangsrechten erforderlich.
9. Können Nutzer ihre Konten und damit verbundene Daten löschen?
Erklärung: Dies ist besonders wichtig bei Eigentumswechsel oder wenn andere Personen das vernetzte Produkt nutzen sollen.
10. Bei Produkten mit mehreren Nutzern: Können separate Benutzerkonten eingerichtet werden?
Erklärung: Wenn vernetzte Produkte typischerweise von mehreren Personen genutzt werden (z.B gemeinsam genutztes Gerät), sollten Mechanismen vorhanden sein, um getrennte Konten oder gemeinsam genutzte Konten zu ermöglichen.
11. Prozess für Datenzugangsanfragen Haben Sie einen definierten Prozess für die Bearbeitung von Datenzugangsanfragen (von Nutzern oder Dritten) etabliert?
Erklärung: Der Data Act verpflichtet Unternehmen, Daten auf Anfrage "unverzüglich" bereitzustellen. Ohne einen standardisierten Workflow (Eingang, Prüfung der Berechtigung, Bereitstellung Daten, Beantwortung von Rückfragen, Eskalation bei Problemen*) riskieren Sie Verstöße gegen den Data Act.
12. Können Datenanfragen automatisiert bearbeitet werden?
Erklärung: Automatisierte Bearbeitung ohne manuelle Prüfung oder Genehmigung ist der Idealfall und vom Data Act vorgesehen, wo technisch möglich.
13. Prozesse Datenweitergabe an Dritte: Haben Sie Prozesse etabliert, wie Nutzer die Weitergabe von Daten an Dritte beantragen können?
Erklärung: Nutzer müssen in der Lage sein, zu verlangen, dass ihre Daten direkt an von ihnen ausgewählte Dritte weitergegeben werden.
14. Defensive Strategie bei Datenzugangsansprüchen & Schutz von Geschäftsgeheimnissen: Verfügt Ihr Unternehmen über ein definiertes Protokoll zur Identifizierung von Geschäftsgeheimnissen und zur Abwehr unberechtigter oder wettbewerbswidriger Datenzugangsansprüche?
Erklärung: Um Ihre Marktposition und Ihr Know-how zu schützen, muss vor jeder Datenfreigabe ein Prüfprozess erfolgen. Der Data Act erlaubt die Verweigerung oder Einschränkung der Herausgabe nur als letztes Mittel (Ultima Ratio), wenn der Schutz von Geschäftsgeheimnissen trotz technischer und organisatorischer Maßnahmen (z. B. NDAs) nachweislich nicht garantiert werden kann. Ein wirksames Konzept umfasst: - Identifikation und Dokumentation des "spezifischen Know-hows", das in der Datenstruktur oder den Metadaten steckt; -Identitätsprüfung des Anfragenden (Schutz vor unberechtigten Dritten); -Prüfung auf Wettbewerbswidrigkeit (Verbot für Dritte, die Daten zur Entwicklung eines Konkurrenzprodukts zu nutzen); -Festlegung angemessener Schutzmaßnahmen (z. B. vertragliche Nutzungsbeschränkungen, Verschlüsselung).
15. Offensive Nutzung des Data Act: Sind Sie Datenempfänger oder möchten Sie Datenempfänger werden? Haben Sie evaluiert, wie Sie als Datenempfänger den Anspruch auf Datenzugang nutzen können, um eigene Produkte oder Services auf Basis von Konkurrenzdaten zu entwickeln oder zu verbessern?
16. Schnittstelle zum Datenschutz (DSGVO): Ist die organisatorische Verzahnung zwischen Data Act-Anfragen und DSGVO-Betroffenenrechten (Art. 15, 20 DSGVO) geklärt?
Erklärung: Oft enthalten IoT-Daten auch personenbezogene Daten. Die Prozesse für den Data Act und die DSGVO müssen Hand in Hand gehen, um widersprüchliche Antworten oder Verstöße gegen beide oder eine der Verordnungen zu vermeiden.
17. Entgelte für die Datenbereitstellung (B2B): Haben Sie eine Strategie oder Preisliste für die Entschädigung bei der Datenbereitstellung an Dritte (B2B) erstellt?
Erklärung: Der Data Act erlaubt es Dateninhabern, von Dritten (nicht vom Nutzer!) eine angemessene Entschädigung zu verlangen. Diese muss für KMU auf die Kosten der Bereitstellung begrenzt sein, darf bei großen Unternehmen aber eine Gewinnmarge enthalten.
18. Überwachung von Gatekeepern (Digital Markets Act): Stellen Sie sicher, dass Daten nicht an Unternehmen weitergegeben werden, die nach dem DMA als "Gatekeeper" eingestuft sind, sofern dies gesetzlich untersagt ist?
Erklärung: Der Data Act verbietet es Gatekeepern (sehr große Tech-Konzerne), Empfänger von Daten über die neuen Nutzer-Zugangsrechte zu sein, um eine weitere Datenkonzentration zu verhindern.
19. Vertragliche Aspekte: Haben Sie Ihre Verträge (AGB, Nutzungsbedingungen) auf Konformität mit dem Data Act überprüft und angepasst?
Erklärung: Der Data Act verbietet einseitig benachteiligende Klauseln, insbesondere solche, die: • Datenzugangsrechte vollständig ausschließen • Unverhältnismäßig hohe Gebühren verlangen • Intransparent oder unklar formuliert sind • Nutzungsrechte unangemessen einschränken.
20. Sind Datenzugangsrechte und Nutzungsrechte in Ihren Verträgen transparent und verständlich geregelt?
Erklärung: Nutzer sollten klar verstehen können - Auf welche Daten sie Zugriff haben; - Wie sie Zugang erhalten; - Welche Rechte und Pflichten bestehen; - Ob und wie Daten mit Dritten geteilt werden können.
21. Prüfung auf missbräuchliche Vertragsklauseln (Art. 13): Haben Sie Ihre Standardverträge und AGB daraufhin geprüft, ob sie Klauseln enthalten, die den Datenzugang oder die Datennutzung für Vertragspartner einseitig und unangemessen einschränken?
Erklärung: Nach Art. 13 sind Vertragsklauseln unwirksam, wenn sie einem Partner einseitig auferlegt wurden und missbräuchlich sind. Dies gilt insbesondere, wenn: - Die Haftung für vorsätzliche Pflichtverletzungen ausgeschlossen wird. - Exklusive Nutzungsrechte eingeräumt werden, die den gesetzlichen Datenzugang faktisch verhindern. - Dem Vertragspartner unangemessene Kündigungsfristen oder Abnahmepflichten bezüglich der Daten auferlegt werden.
22. Falls Sie Daten an Dritte weitergeben: Erfolgt dies nur auf Verlangen (Request) des Nutzers und haben Sie konforme Vereinbarungen?
Erklärung: Wichtige Punkte bei Datenweitergabe sind a) die Weitergabe nur mit expliziter Zustimmung des Nutzers b) die klare Regelungen zu Nutzungszwecken c) keine Weitergabe an weitere Dritte ohne Zustimmung d) Sitz des Empfängers in der EU (für verpflichtende Weitergabe) und e) Pflichten des Datenempfängers klar definiert.
23. (Anbieterwechsel & Cloud-Interoperabilität) - Kommerzielle und operative Auswirkungen der Switching-Regelungen: Haben Sie evaluiert, wie sich die Verpflichtung zur Erleichterung des Anbieterwechsels (Switching) auf Ihre Kundenbindung und Ihre operativen Prozesse auswirkt?
Erklärung: Der Data Act verpflichtet Anbieter von Datenverarbeitungsdiensten, Hindernisse für einen Wechsel zu beseitigen (z.B. technischer Art oder Kündigungsfristen). Operativ müssen Schnittstellen für den Datenexport bereitstehen; kommerziell entfallen schrittweise die Wechselgebühren (Switching Charges). Dies erfordert eine Neubewertung der Customer Lifetime Value Strategie.
24. Management-Awareness: Ist das Management über die Pflichten, Risiken und Chancen des Data Act informiert?
Erklärung: Die Geschäftsführung sollte die strategischen Implikationen und potenziellen Haftungsrisiken verstehen, die mit dem neuen gesetzlichen Rahmenwerk für den Datenaustausch einhergehen.
25. Verantwortlichkeiten und Governance: Haben Sie klare Verantwortlichkeiten für die Data-Act-Compliance in Ihrem Unternehmen definiert?
Erklärung: Es sollte festgelegt sein, wer für die Umsetzung zuständig ist, z. B. Data Act Officer/Compliance Officer, Produktmanagement, IT-Abteilung oder die Rechtsabteilung.
26. Umsetzungsplan: Haben Sie bereits einen konkreten Umsetzungsplan für den Data Act entwickelt?
Erklärung: Ein Umsetzungsplan sollte einen Zeitplan mit Meilensteinen, Ressourcenplanung (Budget, Personal), die Priorisierung der Maßnahmen sowie eine Erfolgskontrolle umfassen inkl. Überwachung und Implementation der weiteren Konkretisierungen (z.B. EU-Standardvertragsklauseln oder Interoperabilitätsnormen) zum Data Act?
27. Schulung und Awareness: Wurden Ihre Mitarbeitenden über die Anforderungen des Data Act geschult?
Erklärung: Relevante Fachbereiche wie Produktentwicklung, IT, Kundensupport, Vertrieb, Marketing sowie Rechts- und Compliance-Abteilungen sollten für die neuen Anforderungen sensibilisiert werden.
28. Interne Leitlinien: Gibt es interne Leitlinien oder Richtlinien zur Umsetzung des Data Act?
Erklärung: Interne Dokumente helfen den Mitarbeitenden, die Anforderungen (z. B. den Umgang mit Datenanfragen) im Tagesgeschäft sicher und einheitlich umzusetzen.
29. Dokumentation der technischen Schnittstellen und Formate Ist Ihre technische Implementierung (APIs, Schnittstellen, Datenformate) so dokumentiert, dass ein reibungsloser Datenzugriff für Nutzer und Dritte möglich ist?
Erklärung: Eine präzise technische Dokumentation ist nach dem Data Act essenziell für: 1) Externe Nutzer/Empfänger: Um den Zugang zu Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu ermöglichen. 2) Interoperabilität: Sicherstellung, dass Schnittstellen (APIs) für Dritte funktionsfähig und verständlich sind. 3) Aufsichtsbehörden: Nachweis der Compliance bei Prüfungen.
Wir verarbeiten Ihre hier eingegebenen personenbezogenen Daten nur für die Reifegrad Analyse und Zusendung der Bewertung. Weitere Informationen finden Sie in unserer Datenschutzerklärung.