Von der Strategie bis zur technischen Umsetzung: Die komplette Data Act To-Do-Checkliste für Hersteller, Anbieter und Nutzer vernetzter Produkte und digitaler Dienste.
Der EU Data Act ist seit dem 12. September 2025 in Kraft. Viele Pflichten gelten bereits – andere greifen am 12. September 2026. Die Zeit für eine strukturierte Umsetzung wird knapper.
Viele Unternehmen wissen inzwischen, dass sie betroffen sind – aber was bedeutet das konkret? Was muss wann umgesetzt werden, und in welcher Reihenfolge?
In den vorherigen Teilen dieses Praxisleitfadens haben wir die wichtigsten Regelungsbereiche des Data Act erklärt: Datenzugangspflichten, Datennutzungsverträge, unfaire Vertragsklauseln, die Schutzstrategie für veredelte Daten und die Switching-Regeln für Cloud-Anbieter.
In diesem abschließenden Teil bringen wir alles zusammen – in einer praxisnahen, operativen To-Do-Checkliste, mit der Sie konkrete Schritte direkt umsetzen können.
Hier Checkliste kostenlos herunterladen.
Data Act-Compliance ist kein IT-Projekt
Die wichtigste Erkenntnis vorab: Der Data Act ist keine isolierte IT-Aufgabe. Er greift tief in technische Produktgestaltung, Vertragsrecht, operative Prozesse und kommerzielle Aspekte ein – gleichzeitig und branchenübergreifend. Hersteller vernetzter Produkte, Anbieter verbundener Dienste, Cloud-Anbieter und Nutzer sind alle betroffen, teils mit ganz unterschiedlichen Pflichten und Rechten.
Die Checkliste ist deshalb in fünf Bereiche gegliedert.
1. Dateninventar & Strategische Abgrenzung
Bevor eine einzige technische oder vertragliche Maßnahme sinnvoll geplant werden kann, braucht es ein vollständiges Bild der eigenen Datenlage. Das bedeutet: Welche Produkte und Dienste fallen überhaupt in den Anwendungsbereich? Welche Daten entstehen dabei – personenbezogen, nicht-personenbezogen oder gemischt?
Und wo in der Verarbeitungskette stehen diese Daten: sind es Rohdaten (Stufe 1), aufbereitete Daten (Stufe 2) oder veredelte Daten mit erheblichen Investitionen (Stufe 3)?
Diese Klassifizierung ist strategisch entscheidend, denn nur Daten der Stufen 1 und 2 unterliegen der Weitergabepflicht. Veredelte Daten genießen besonderen Schutz – aber nur, wenn die Investitionen sorgfältig dokumentiert sind.
Ein oft übersehener Punkt: Auch Bestandsgeräte, die vor dem 12.09.2025 verkauft wurden, sind betroffen. Für bekannte Nutzer muss die vertragliche Zustimmung zur Eigennutzung der Daten nachgeholt werden.
2. Design-Pflichten & Technische Umsetzung
Ab dem 12. September 2026 müssen neu auf den Markt gebrachte vernetzte Produkte so gestaltet sein, dass Nutzer standardmäßig direkten, einfachen und kostenlosen Zugang zu den generierten Daten haben – maschinenlesbar, kontinuierlich, in Echtzeit soweit technisch möglich. Das ist Access-by-Design, und es ist keine Empfehlung, sondern eine gesetzliche Pflicht.
Unsere Checkliste gibt hier konkrete Lösungen: APIs mit vollständiger Dokumentation, Authentifizierungs- und Autorisierungsmechanismen, Echtzeit-Fähigkeit, Qualitätsgleichheit mit den eigenen Datenzugriffen – und eine aktive Schutzstrategie für Geschäftsgeheimnisse, denn beim direkten Access-by-Design greift kein automatischer Schutz.
3. Nutzerverwaltung & Operative Prozesse
Dieser Abschnitt umfasst das Zustimmungsmanagement nach Art. 4 Abs. 13 (ohne vertragliche Zustimmung des Nutzers bestehen seit dem 12.09.2025 de facto keine Eigennutzungsrechte mehr), die Einrichtung eines Anfrage-Workflows für Datenzugangsanfragen, die Weitergabe an Dritte auf Nutzerverlangen, den Schutz von Geschäftsgeheimnissen und die offensive Nutzung eigener Rechte als Datenempfänger.
Besonders wichtig: Die Koordination mit der DSGVO. Der Data Act überlagert die DSGVO nicht – er tritt neben sie. Wer beide Regelwerke nicht abstimmt, riskiert gleichzeitig gegen beide zu verstoßen. Und bei Herausgaben an Behörden in Notstandssituationen sind personenbezogene Daten vor der Übermittlung soweit möglich zu anonymisieren oder pseudonymisieren.
4. Verträge & Cloud
AGB, Nutzungsbedingungen und Serviceverträge müssen auf drei Ebenen geprüft werden: Blacklist-Klauseln entfernen, Greylist-Klauseln überprüfen und – das wird oft vergessen – eine Lizenzklausel zur Eigennutzung der Daten aufnehmen. Letzteres ist keine Kür, sondern zwingend: Ohne sie hat der Dateninhaber keine Rechtsgrundlage mehr, die durch eigene Produkte entstehenden Daten für eigene Zwecke zu nutzen.
Für Cloud- und SaaS-Anbieter kommen die Switching-Regeln hinzu: maximale Kündigungsfrist von 30 Tagen und maximale Frist von 2-7 Monaten zur Durchführung des Wechsels, kostenfreier Datenexport, funktionale Äquivalenz. Diese Regeln gelten seit dem 12.09.2025 auch für bestehende Altverträge.
5. Organisation & Governance
Alle vorgenannten Maßnahmen sind ohne klare interne Verantwortlichkeiten wirkungslos. Die Checkliste fordert: Management-Awareness herstellen, einen Data Act Compliance Officer oder SPOC benennen, ein funktionsübergreifendes Team etablieren, interne Leitlinien entwickeln und alle betroffenen Bereiche schulen – von IT und Produktentwicklung bis zu Vertrieb, Support und Recht.
Und: Die Arbeit ist mit der Erstimplementierung nicht getan. Delegierte Rechtsakte, EU-Standardvertragsklauseln und Interoperabilitätsnormen werden von der EU-Kommission noch verabschiedet. Kontinuierliches Monitoring ist Pflicht.
Business sichern, Risiken minimieren, Chancen nutzen.
Laden Sie die vollständige To-Do-Checkliste kostenlos herunter und nutzen Sie sie als Grundlage für Ihre eigene Data Act Roadmap.
Haben Sie den Data Act Anwendbarkeitscheck noch nicht gemacht? Starten Sie hier unseren kostenlosen Data Act Anwendbarkeitscheck.
Möchten Sie wissen, wo Ihr Unternehmen heute steht? Unsere kostenlose Reifegrad-Analyse gibt Ihnen in wenigen Minuten eine erste Einschätzung:
Von der Strategie bis zur Umsetzung – Wir begleiten Sie Sie pragmatisch und effizient bei der Data-Act-Transformation
Der EU Data Act ist komplex. Aber er ist auch eine Chance: Wer jetzt handelt, sichert sein Business, schützt seine Werte und erschließt neue Potenziale.
Sprechen Sie uns direkt an – unverbindlich und vertraulich:
