Der EU Data Act: Mehr Flexibilität, geringere Kosten

Der neue EU Data Act stärkt vor allem kleine und mittlere Unternehmen. Anbieterwechsel bei Cloud- und SaaS-Lösungen werden deutlich einfacher und günstiger, und auch der Zugang zu Gerätedaten (z. B. IoT-Produkte) wird erstmals rechtlich klar geregelt. Sie können Ihre Verträge jetzt besser kontrollieren, die Kosten beim Wechsel reduzieren und Ihre eigenen Daten endlich vollständig nutzen.

Welche Unternehmen und Verträge betrifft der Data Act wirklich?

Der EU Data Act betrifft Sie als Geschäftsführer unmittelbar aus drei Blickwinkeln:

Als Kunde von Cloud-Diensten, SaaS-Software und digitalen Plattformen:

Wenn Sie Dienste wie Microsoft 365, Salesforce, AWS, HubSpot oder Lexoffice nutzen, mussten Sie bisher hohe Kosten und Aufwand für den Wechsel einplanen. Egress-Gebühren und fehlende Schnittstellen machten einen Anbieterwechsel teuer und schwierig. Genau hier setzt der Data Act an und erleichtert Ihnen künftig diesen Schritt erheblich.

Als Anbieter digitaler Produkte oder vernetzter Dienste:

Sind Sie selbst Anbieter oder Betreiber eines Cloud-Dienstes, einer SaaS-Software oder verkaufen Sie Geräte mit IoT-Funktionalitäten, entstehen Ihnen durch den Data Act konkrete neue Pflichten. Sie müssen künftig klar geregelte Datenschnittstellen und einfache Exportmöglichkeiten für Ihre Kunden bereitstellen. Darüber hinaus dürfen Sie spätestens ab 2027 keine Wechsel– oder Egress-Gebühren mehr verlangen. Hier gilt es, Ihre Verträge und Systeme rechtzeitig entsprechend anzupassen, um Strafen und Wettbewerbsnachteile zu vermeiden.

IoT-Geräte und vernetzte Produkte (Maschinen, Sensoren, Fahrzeug-Telematik):

Nutzen Sie Geräte oder Anlagen, die Betriebsdaten sammeln? Bisher entschieden oft Hersteller allein, welche Daten Sie nutzen durften. Der Data Act gibt Ihnen hier ab 2026 gesetzlich garantierte Zugriffsrechte auf Ihre Daten – etwa zur externen Wartung oder Optimierung.

Open Source und Self-hosting – Wann gilt der Data Act überhaupt?

Wenn Sie Ihre Software selbst hosten und auf eigenen Servern betreiben (also keine externen Provider nutzen), fallen Sie in der Regel nicht unter die neuen Anbieterpflichten des Data Act. Diese gelten ausdrücklich nur für Anbieter kommerzieller Dienste wie SaaS, PaaS oder IaaS.

Wenn Sie allerdings Open-Source-Software als Managed-Service oder SaaS-Lösung bei einem externen Anbieter buchen, greifen die Regeln des Data Act auch hier ganz normal. Grundsätzlich lohnt es sich aber, auch bei eigener Software immer klare Schnittstellen, regelmäßige Exporte und Dokumentationen einzuplanen – so bleiben Sie unabhängig und flexibel.

Was ab wann gilt – die wichtigsten Termine klar erklärt

Damit Sie genau wissen, wann welche Regeln gelten, hier eine verständliche Übersicht der wichtigsten Stichtage:

Seit 12.09.2025

Vertragsklarheit und faire Klauseln

Der EU Data Act ist offiziell in Kraft. Das bedeutet: Alle neuen Verträge für Cloud-Dienste und SaaS-Lösungen müssen bereits jetzt klare Regelungen zum Anbieterwechsel und zum Datenexport enthalten.

Klauseln, die Kunden beim Datenzugang und beim Anbieterwechsel unfair benachteiligen, sind in neuen Verträgen jetzt schon unwirksam und angreifbar.

Ab 12.09.2026

IoT-Datenzugriff garantiert

„Access by Design“ wird Pflicht für neue IoT-Geräte, Maschinen und vernetzte Produkte. Wenn Sie Hersteller oder Anbieter solcher Produkte sind, müssen Sie ab diesem Zeitpunkt sicherstellen, dass Kunden auf ihre Gerätedaten einfach zugreifen und diese nutzen können.

Ab 12.01.2027

Wegfall aller Wechselgebühren

Anbieter dürfen ab diesem Stichtag keine Gebühren (sog. Egress-Gebühren) mehr verlangen, wenn ein Kunde seine Daten zu einem anderen Anbieter mitnehmen will. Bis dahin dürfen nur tatsächlich entstandene, nachweisbare Kosten berechnet werden.

Ab 12.09.2027

Altverträge endgültig angepasst

Auch langfristige oder unbefristete Altverträge, die sehr kundenunfreundliche Klauseln enthalten, sind dann vom Schutz des Data Act erfasst und könnten in Teilen unwirksam werden.

Warum das für Sie als Unternehmer wirtschaftlich attraktiv ist

Bisher waren Unternehmen oft in ihren Cloud- oder Softwarelösungen „gefangen“. Der Wechsel war teuer, kompliziert oder schlicht zu risikoreich. Das ändert der EU Data Act grundlegend: Kurz gesagt: Der Data Act stärkt Ihre Position im Markt deutlich und schafft finanzielle wie operative Vorteile, die Sie direkt für Ihr Unternehmen nutzen können.

Keine Kostenfalle mehr bei Datenwechseln

Durch den Wegfall von Wechselgebühren können Sie Ihre Daten endlich ohne Zusatzkosten und überraschende Rechnungen zu einem neuen Anbieter mitnehmen. Sie gewinnen dadurch mehr Verhandlungsspielraum gegenüber bestehenden und neuen Anbietern und haben künftig echte Alternativen.

Volle Kontrolle über Ihre Daten

Sie erhalten endlich klaren und rechtlich abgesicherten Zugriff auf wichtige Gerätedaten aus Maschinen, Sensoren oder Fahrzeugen. Das erlaubt Ihnen, externen Service zu nutzen, Wartungskosten zu senken oder Ihre Produktionsprozesse zu optimieren.

Risiken minimieren, Planbarkeit steigern

Durch klare Regeln zu Datenexporten und verlässliche Wechselklauseln in Verträgen haben Sie eine wesentlich bessere Planungssicherheit. Unvorhersehbare Projektrisiken und überraschend hohe Migrationskosten entfallen künftig weitgehend.

Brauchen Sie rechtliche Unterstützung zum EU Data Act?

Unklare Klauseln in Cloud- oder SaaS-Verträgen, überraschende Wechselgebühren oder fehlende Regelungen zum Datenzugriff können zu unerwarteten Kosten, technischen Blockaden oder Projektverzögerungen führen. Reduzieren Sie Ihre Risiken und vermeiden Sie unnötige Mehrkosten: Lassen Sie Ihre Verträge jetzt auf Konformität mit dem EU Data Act prüfen und erhalten Sie klare Handlungsempfehlungen und praxistaugliche Maßnahmenlisten.

Kontakt aufnehmen

Welche Vertragsklauseln ab sofort kritisch oder sogar unzulässig sind

Viele Unternehmen nutzen heute noch Verträge, die sie beim Anbieterwechsel und Datenexport stark benachteiligen. Einige dieser Klauseln sind nach dem neuen EU Data Act nicht mehr erlaubt oder sollten zumindest dringend überprüft werden. Besonders kritisch sind dabei folgende Beispiele:

Datenhoheit ausschließlich beim Anbiete

Bisher schränkten Anbieter oft ein, dass Daten ausschließlich in ihren Systemen verbleiben und der Kunde kaum Zugriff oder Exportmöglichkeiten hat. Solche Klauseln sind jetzt nicht mehr zulässig.

Einseitige Änderungen ohne Ihre Zustimmung

Wenn Anbieter sich vorbehalten, AGB jederzeit ohne Ihr Einverständnis zu ändern, müssen Sie das nicht länger akzeptieren. Änderungen brauchen Fristen und Ihre Möglichkeit zum Widerspruch.

Umfassende Haftungsausschlüsse

Haftungsausschlüsse, die selbst grobe Fahrlässigkeit oder Vorsatz beinhalten, sind nicht mehr zulässig. Sie sollten hier nachverhandeln, um Ihre Rechte zu wahren.

Verbot der Datenweitergabe an Dritte

Bisher konnten Anbieter es Ihnen verbieten, Ihre eigenen Daten an Dritte weiterzugeben, beispielsweise an externe Dienstleister für Wartung oder Analysen. Solche Klauseln sind jetzt in der Regel unwirksam.

Überlange Kündigungsfristen und unklare Kostenregelungen

Verträge mit extrem langen Kündigungsfristen oder pauschal festgelegten Gebühren für den Datenexport ohne Nachweis tatsächlicher Kosten sind nicht mehr tragbar.

Wichtige Hinweise zur Gestaltung neuer Verträge

Um künftig von klaren und fairen Bedingungen zu profitieren, empfehlen wir Ihnen, bei Vertragsverhandlungen auf folgende Punkte besonders zu achten:

Warum ein Online-Register für Daten und Formate wichtig ist

Damit Sie bei einem Anbieterwechsel keine unangenehmen Überraschungen erleben, müssen Anbieter ein gut verständliches Online-Register führen. Dort wird genau beschrieben, in welchen Formaten Ihre Daten exportiert werden können, wie die Schnittstellen aufgebaut sind und welche Änderungen vorgenommen wurden. Dieses Register sollte direkt im Vertrag verlinkt sein, regelmäßig aktualisiert und Ihnen auf Anfrage auch archiviert bereitgestellt werden. So wissen Sie jederzeit genau, was Sie beim Export erwarten können und ob Ihre neuen Anbieter diese Daten auch importieren können.

Wie Sie Vertragsrisiken vermeiden und Vorteile sichern

Wenn Sie Ihre Verträge gezielt auf den neuen Data Act anpassen, können Sie ihn als wirksames Instrument zur Kostensenkung und Steigerung Ihrer Flexibilität nutzen. Gut formulierte Vertragsklauseln schaffen Ihnen klare Exportmöglichkeiten für Ihre Daten und definieren transparente Fristen und Abläufe beim Anbieterwechsel. Dadurch vermeiden Sie unnötige Projektverzögerungen, zusätzliche Kosten und Risiken, die sonst häufig entstehen, wenn Daten bei einem Anbieterwechsel feststecken oder nicht vollständig übertragen werden können.

Im Bereich der IoT-Geräte lohnt es sich besonders, Ihre Verträge schon jetzt klar auf den Zugriff auf Gerätedaten auszurichten. Wenn Datenströme und Zugriffsrechte klar geregelt sind, können Sie ohne Zeitverlust externe Dienstleister oder Wartungspartner einbinden. Hierdurch reduzieren Sie Wartungskosten und erhöhen Ihre Wettbewerbsfähigkeit durch schnelle Reaktionszeiten und effiziente Betriebsabläufe.

Ein besonders wichtiger Aspekt ist dabei der Schutz Ihrer Geschäftsgeheimnisse und die Einhaltung des Datenschutzes. Gerade wenn externe Dienstleister auf sensible Gerätedaten zugreifen, ist es entscheidend, Vertraulichkeit klar zu vereinbaren. Dies gelingt regelmäßig durch sorgfältig gestaltete Vertraulichkeitsvereinbarungen (NDAs), klar definierte Rollen und Rechte in den Datenzugriffen sowie durch Protokollierung und Monitoring der Datenzugriffe. Dadurch sichern Sie sich rechtlich ab und gewährleisten, dass Ihre wertvollen Unternehmensdaten ausschließlich dem vereinbarten Zweck dienen.

Häufige Fehler aus der Praxis – was Sie vermeiden sollten

Keine Festlegung eines standardisierten Exportformats

Unternehmen versäumen es häufig, im Vertrag konkret zu vereinbaren, in welchem Format die Daten bei einem Anbieterwechsel bereitgestellt werden müssen (z. B. CSV, JSON oder XML). Ohne eine solche Festlegung besteht das Risiko, dass Anbieter Daten in einem proprietären oder unvollständigen Format liefern, was einen Wechsel deutlich erschwert oder unmöglich macht.

Fehlende oder zu kurze Übergangszeiträume bei Kündigung

Wird keine ausreichende Übergangszeit (z. B. mind. 30 Tage) vereinbart, entsteht beim Wechsel oft ein „Service-Gap“, der operative Prozesse und Kundenbeziehungen gefährdet.

Akzeptanz pauschaler Egress-Gebühren ohne Nachweis

Oft werden pauschale Gebühren akzeptiert, obwohl der Anbieter nach dem Data Act nur nachweisbare Selbstkosten berechnen darf. Folge: überhöhte Rechnungen und unnötige Kosten.

Datenexport ohne Metadaten und Konfigurationen

Unternehmen vergessen häufig, Metadaten, Konfigurationsdaten oder Anhänge explizit in den Exportklauseln aufzunehmen. Ergebnis: Datenexporte sind unvollständig und erfordern zusätzlichen Aufwand.

Unklare Vereinbarung zu API-Zugängen und Testumgebungen

Fehlt ein vertraglich garantierter API-Zugang oder eine Testumgebung, kann das neue System oft nicht ausreichend getestet werden. Dies erschwert oder verzögert den Anbieterwechsel erheblich.

Fehlende Regelungen zum Zugriff auf IoT-Gerätedaten

Ohne klare Vertragsregeln zum Datenzugriff auf Maschinen oder Sensoren können Unternehmen externe Serviceanbieter nicht schnell genug einbinden. Wartung und Optimierungen verzögern sich dadurch unnötig.

Vertragsänderungen ohne Zustimmungsmöglichkeit des Kunden

Akzeptieren Unternehmen Klauseln, nach denen Anbieter Verträge einseitig ändern können, sind sie zukünftig an ungewollte Konditionen gebunden und verlieren Kontrolle über ihre Vertragsgestaltung.

Keine Protokollierung oder Rollen-/Rechte-Konzepte für Drittdatenzugriffe

Werden Zugriffsrechte für externe Dienstleister oder Partner nicht definiert oder protokolliert, besteht das Risiko von Datenschutzverletzungen oder Verlust von Geschäftsgeheimnissen.

Ignorieren der langfristigen Data-Act-Fristen (2026/2027)

Unternehmen berücksichtigen oft nicht rechtzeitig die langfristigen Übergangsfristen des Data Act (z. B. vollständiger Wegfall der Egress-Gebühren ab Januar 2027). Das führt später zu hohem Nachbesserungsbedarf und unnötigen Kosten.

Missverständnis bei Open-Source und selbst gehosteter Software

Unternehmen gehen fälschlicherweise davon aus, dass selbst betriebene Software grundsätzlich unter die Data-Act-Pflichten fällt. Tatsächlich betrifft der Data Act nur Anbieter kommerzieller Datenverarbeitungsdienste (IaaS, PaaS, SaaS), nicht die rein interne Nutzung eigener Software auf eigener Infrastruktur.

Checkliste für Anbieter

Bevor Sie Maßnahmen rund um den Data Act umsetzen, sollten Sie klären, ob Sie als Anbieter gesetzlich verpflichtet sind, oder ob Sie als Kunde aus eigenem Interesse handeln, um Ihre Vertragsbedingungen zu verbessern. Die nachfolgende Checkliste unterstützt Sie dabei:

Wenn Sie Anbieter (z. B. Cloud, SaaS, IoT) sind – Pflichtmaßnahmen:

Vertragsbedingungen prüfen:
Prüfen Sie, ob Ihre aktuellen Verträge die neuen Vorschriften des EU Data Act (z. B. Wechselmöglichkeiten, Exportformate) erfüllen oder nachgebessert werden müssen.
Egress-Gebühren anpassen:
Entfernen Sie spätestens ab 12.01.2027 alle pauschalen Gebühren für den Datenexport. Bis dahin dürfen nur nachweisliche Selbstkosten berechnet werden.
Technische Schnittstellen einrichten:
Stellen Sie sicher, dass Ihre Systeme über standardisierte, maschinenlesbare Schnittstellen und Formate (z. B. JSON, CSV) verfügen, um einfache und vollständige Datenexporte zu ermöglichen.
Zugriffsrechte für IoT-Gerätedaten klären:
Richten Sie rechtzeitig (bis 12.09.2026) standardmäßige Zugriffsmöglichkeiten für Kunden auf Geräte- und Maschinendaten ein („Access by Design“).
Schutz von Geschäftsgeheimnissen sicherstellen:
Sorgen Sie dafür, dass Ihre Systeme den Schutz von Geschäftsgeheimnissen gewährleisten, z. B. durch klare Rechte- und Rollenkonzepte und eine dokumentierte Protokollierung.

Wenn Sie Kunde (Cloud-/SaaS-Nutzer) sind – freiwillige Maßnahmen:

Vertragsprüfung auf Data-Act-Kompatibilität:
Prüfen Sie Ihre bestehenden Verträge, ob diese Klauseln enthalten, die Ihnen den Anbieterwechsel erschweren oder den Datenexport begrenzen.
Nachverhandeln problematischer Klauseln:
Gehen Sie auf Anbieter zu und verhandeln Sie aktiv über problematische Vertragsklauseln, insbesondere zu Kündigungsfristen, Exportformaten und Gebühren.
Standardisierte Exportformate sichern:
Vereinbaren Sie verbindlich ein klar definiertes, maschinenlesbares Exportformat, in dem alle relevanten Daten inklusive Metadaten und Anhänge übertragen werden.
Übergangsphase und Tests sicherstellen:
Verlangen Sie eine klar definierte Übergangsphase (mind. 30 Tage) und eine Testumgebung, um neue Anbieter-Services sicher und risikolos erproben zu können.
Zugriff auf IoT-Daten klären:
Legen Sie fest, dass Sie oder externe Dienstleister zukünftig direkten Zugriff auf Ihre Gerätedaten erhalten, um Wartung oder Auswertungen einfacher durchführen zu können.

Behörden verlangen Ihre Daten – was tun im Ernstfall?

In Ausnahmesituationen (z. B. einer öffentlichen Krise oder Sicherheitslage) können Behörden verlangen, dass Sie bestimmte Daten zur Verfügung stellen. Diese Anfragen sollten sorgfältig geprüft und auf ein notwendiges Minimum reduziert werden. Sie haben ein Recht darauf, eine angemessene Entschädigung für den Aufwand zu erhalten. Achten Sie auf Datenschutz und Geschäftsgeheimnisse, dokumentieren Sie genau, was übergeben wurde, und halten Sie die Schritte nachvollziehbar fest. So vermeiden Sie unnötige Risiken und sichern sich rechtlich ab.

Typische Situationen aus der Praxis

Hier finden Sie sieben häufige Fälle rund um Anbieterwechsel, Datenzugang und Vertragsfragen aus dem Alltag von Unternehmen – mit klaren Antworten und direkten nächsten Schritten.

1. „Wir möchten kurzfristig aus einem SaaS-Vertrag raus – geht das überhaupt?“

Ja, ein Wechsel ist realistisch, auch innerhalb von etwa 3 Monaten. Wichtig ist, dass Sie dem Anbieter rechtzeitig (höchstens 2 Monate Kündigungsfrist) kündigen und danach mindestens 30 Tage Übergangsphase planen. Vereinbaren Sie klar, welche Daten Sie bekommen (inklusive Metadaten, Anhänge und Einstellungen) und in welchem Format (z. B. CSV oder JSON). Machen Sie frühzeitig Probe-Exporte, um Überraschungen zu vermeiden. Danach müssen Sie noch mindestens 30 Tage Zugriff zum Abruf Ihrer Daten haben.

Nächster Schritt: Wechselplan mit Anbieter abstimmen, konkrete Datenexporte testen.

2. Wir wollen IoT-Daten an einen externen Service weitergeben – worauf müssen wir achten?“

Der Data Act sichert Ihnen das Recht zu, Daten aus vernetzten Geräten an externe Anbieter weiterzugeben. Der Anbieter Ihres Produkts muss die Daten dafür einfach zugänglich machen, am besten über eine offene Schnittstelle (z. B. API). Wichtig: Sie müssen vertraglich genau festlegen, welche Daten geliefert werden, in welchem Format und wie oft. Geheimhaltung und Datenschutz regeln Sie zusätzlich durch eine Verschwiegenheitsvereinbarung (NDA).

Nächster Schritt: Datenumfang definieren und klare Vereinbarung mit Anbieter und Dienstleister treffen.

3. „Unser Cloud-Anbieter sitzt außerhalb der EU – worauf müssen wir jetzt achten?“

Wenn ein Anbieter außerhalb der EU sitzt, aber in der EU Dienstleistungen anbietet, muss er offiziell eine EU-Vertretung benennen. Nur so haben Sie einen klaren Ansprechpartner und können Ihre Rechte wirksam durchsetzen. Prüfen Sie außerdem, ob der Anbieter transparent macht, in welchen Ländern Ihre Daten gespeichert werden und welche Schutzmaßnahmen gelten.

Nächster Schritt: Anbieter auffordern, die EU-Vertretung schriftlich zu bestätigen.

4. „Der Anbieter behauptet, der Wechsel ist technisch unmöglich und will mehr Zeit – ist das erlaubt?“

Ja, aber nur sehr begrenzt und mit nachvollziehbarer Begründung. Der Anbieter muss Ihnen innerhalb kurzer Frist erklären, warum der Wechsel länger als 30 Tage dauert. Dabei ist er verpflichtet, eine klare Alternative anzubieten und darf die Verlängerung maximal auf insgesamt sieben Monate ausdehnen. In jedem Fall müssen Ihre Daten verfügbar und sicher bleiben.

Nächster Schritt: Fordern Sie eine schriftliche Begründung und einen verbindlichen Zeitplan an.

5. „Wir nutzen Open-Source-Software auf eigenen Servern – betrifft uns der Data Act?“

Wenn Sie die Software selbst auf eigenen Servern betreiben, sind Sie nicht als Anbieter eines „Datenverarbeitungsdienstes“ betroffen. Anders ist es, wenn Sie Open-Source-Software über einen externen Dienstleister beziehen („Managed Service“), dann gelten die normalen Wechselregeln. Stellen Sie trotzdem sicher, dass Ihre Systeme gut exportierbar und offen für Schnittstellen sind – das erleichtert Ihnen spätere Änderungen.

Nächster Schritt: Dokumentieren Sie klar, welche Systeme intern und welche extern betrieben werden.

6. „Muss der neue Anbieter beim Anbieterwechsel aktiv helfen?“

Ja, beide Anbieter müssen beim Wechsel aktiv zusammenarbeiten. Legen Sie deshalb vorher genau fest, wie die Daten technisch übergeben werden (welches Format, welche Schnittstelle), wer dafür verantwortlich ist, und wie der Zeitplan aussieht. Vereinbaren Sie zusätzlich Testläufe und klare Abnahmekriterien, damit alles reibungslos klappt.

Nächster Schritt: Gemeinsamen Umstellungsplan mit beiden Anbietern abstimmen und schriftlich fixieren.

7. „Eine Behörde fordert im Notfall Zugriff auf unsere Daten – was müssen wir beachten?“

In seltenen Fällen dürfen Behörden Daten anfordern, zum Beispiel bei einer Krise oder öffentlichen Notlage. Wichtig für Sie: Prüfen Sie, ob die Anforderung verhältnismäßig ist, geben Sie nur absolut notwendige Daten weiter und stellen Sie sicher, dass Datenschutz und Geschäftsgeheimnisse geschützt bleiben. Fordern Sie außerdem eine klare Beschreibung, wie die Daten übergeben werden und dokumentieren Sie alles sorgfältig.

Nächster Schritt: Erstellen Sie eine kurze interne Checkliste für den Umgang mit Behördenanfragen und informieren Sie Mitarbeiter und Dienstleister.

Kosten, Fristen & Durchsetzung kompakt erklärt

Was dürfen Anbieter noch berechnen?

Bis 12.01.2027: Anbieter dürfen beim Datenexport („Egress“) höchstens die tatsächlich entstandenen Selbstkosten in Rechnung stellen. Diese Kosten müssen auf Verlangen nachvollziehbar belegt werden.
Ab 12.01.2027: Egress-Gebühren sind vollständig verboten. Anbieter müssen Datenexporte ab diesem Zeitpunkt kostenfrei ermöglichen.

Wichtige Fristen im Überblick

12.09.2025: Data Act in Kraft – neue Verträge müssen bereits Wechselmöglichkeiten und Exportformate klar regeln.
12.09.2026: Pflicht zu einfachem Datenzugriff („Access by Design“) für neu angebotene IoT-Geräte und vernetzte Produkte.
12.01.2027: Wegfall sämtlicher pauschaler Egress-Gebühren; nur nachweisbare Selbstkosten bis dahin erlaubt.
12.09.2027: Unfaire Klauseln in Altverträgen werden unwirksam. Verträge müssen spätestens jetzt angepasst sein.

Durchsetzung – Was tun bei Problemen?

Verhandeln: Sprechen Sie Ihren Anbieter frühzeitig auf Anpassungen an. Viele Anbieter reagieren schnell, um teure rechtliche Auseinandersetzungen zu vermeiden.
Rechtsberatung nutzen: Bei Konflikten oder Unklarheiten kann anwaltliche Unterstützung sinnvoll sein, um Ihre Interessen sicher und wirksam durchzusetzen.
Behördliche Meldung: Bei anhaltender Weigerung des Anbieters können Verstöße gegen den Data Act auch an zuständige Aufsichtsbehörden gemeldet werden.

Häufige Fragen (FAQ)

Gilt der Data Act für unser Unternehmen?

Grundsätzlich ja, wenn Sie vernetzte Produkte (IoT), zugehörige Dienste oder externe Datenverarbeitungsdienste (IaaS/PaaS/SaaS) nutzen oder anbieten. Die Verordnung gilt seit 12. September 2025; einzelne Pflichten greifen gestaffelt. Für Cloud‑Wechsel gilt Kapitel VI; für IoT‑Datenzugang Kapitel II; für unfaire B2B‑Klauseln Kapitel IV.

Nächster Schritt: Prüfen Sie, welche Ihrer Verträge und Systeme in diese Kapitel fallen.

Ab wann gilt was – die wichtigsten Stichtage?

Anwendbar ab 12. 09. 2025. Design‑Pflichten für neue vernetzte Produkte gelten für Produkte/Dienste, die nach dem 12. 09. 2026 in Verkehr gebracht werden. Kapitel IV (unfaire B2B‑Klauseln) gilt für Neuverträge ab 12. 09. 2025 und für bestimmte Altverträge ab 12. 09. 2027 (unbefristet oder Restlaufzeit ≥ 10 Jahre).

Nächster Schritt: Zeitplan erstellen und Altverträge identifizieren.

Betrifft der Data Act auch US/UK‑Anbieter?

Ja. Erfasst sind Hersteller/Anbieter, die Produkte in der EU bereitstellen oder Dienste in der EU anbieten – unabhängig vom Sitz. Nicht‑EU‑Anbieter müssen eine rechtliche Vertretung in der EU benennen.

Nächster Schritt: Von Nicht‑EU‑Providern die EU‑Vertretung und Zuständigkeit erfragen.

Was ist ein „Datenverarbeitungsdienst“ – sind SaaS‑Dienste erfasst?

Ja. „Datenverarbeitungsdienst“ ist ein digitaler Dienst mit on‑demand Zugriff auf skalierbare IT‑Ressourcen (Cloud/Edge), einschließlich SaaS, PaaS, IaaS. Kapitel VI (Wechsel) richtet sich an Provider solcher Dienste.

Nächster Schritt: Verträge Ihrer Cloud‑/SaaS‑Anbieter auf Kapitel‑VI‑Klauseln prüfen.

Gilt Kapitel VI auch für self‑hosted/on‑premises Software?

Regelmäßig nein. Die Wechselpflichten binden Provider von Datenverarbeitungsdiensten. Betreiben Sie Software selbst (ohne externen Provider), greift Kapitel VI nicht.

Nächster Schritt: Bei Mischmodellen (on‑prem + Managed‑Cloud) die Provider‑Anteile vertraglich sauber abgrenzen.

Und für Open‑Source self‑hosted?

Wie bei proprietär self‑hosted: kein externer Provider, daher keine Kapitel‑VI‑Wechselpflichten. Wird Open‑Source jedoch als Service bezogen (Managed‑Hosting), gilt Kapitel VI ganz normal.

Nächster Schritt: Hosting‑/Betriebsmodell dokumentieren und ggf. Wechselklauseln nachziehen.

Welche Wechselrechte habe ich als Cloud‑Kunde?

Der Provider muss Wechsel zu einem anderen Anbieter oder in eine eigene Infrastruktur ermöglichen, Export aller exportierbaren Daten unterstützen, und geschäftskritische Kontinuität wahren. Der Wechsel ist vertraglich zu regeln (inkl. Formate, Register, Abruf‑ und Löschregeln).

Nächster Schritt: Vertragsnachtrag mit Art‑25‑Elementen aushandeln.

Welche Fristen gelten (Ankündigung/Transition)?

Maximale Ankündigungsfrist: 2 Monate. Danach Pflicht‑Übergangsphase: 30 Kalendertage; bei technischer Unmöglichkeit darf der Provider begründet verlängern – max. 7 Monate. Innerhalb von 14 AT nach Ihrem Wechselersuchen muss technische Unmöglichkeit begründet werden.

Nächster Schritt: Diese Fristen explizit in Ihre Cloud‑Verträge aufnehmen.

Was ist der Abrufzeitraum nach Vertragsende?

Nach Ende der Übergangsphase steht Ihnen ein Abrufzeitraum von mindestens 30 Kalendertagen zu, um Daten abzuholen. Danach sind vollständige Löschung und Bestätigung zu vereinbaren.

Nächster Schritt: Abruf‑ und Löschprotokoll in den Vertrag.

Dürfen Egress‑/Switching‑Gebühren verlangt werden?

Nur bis 12. 01. 2027 und kostenbasiert reduziert; ab 12. 01. 2027 sind Switching‑Charges verboten. Standard‑Service‑Fees und zulässige Early‑Termination‑Penalties sind davon zu unterscheiden.

Nächster Schritt: Gebührenkatalog prüfen; ab 2027 Gebührenfreiheit verlangen.

Unterschied: Switching‑Gebühren vs. Early Termination Penalties?

Switching‑Gebühren sind Exit‑bezogene Gebühren (z. B. Datenabzug), die ab 2027 untersagt sind. Early Termination Penalties (z. B. bei vorzeitigem Vertragsende) können – bei Transparenz und Rechtskonformität – zulässig bleiben.

Nächster Schritt: Gebühren sauber kategorisieren und vertraglich offenlegen.

Was umfasst „exportable data“ (und „digitale Assets“)?

Mindestens Input‑ und Output‑Daten einschließlich Metadaten, die durch Ihre Nutzung des Dienstes erzeugt wurden; zusätzlich können digitale Assets (z. B. Anwendungen), soweit Nutzungsrechte bestehen, erfasst sein.

Nächster Schritt: Exportumfang präzise auflisten und mit Zielsystem abgleichen.

Müssen Anbieter ein online Daten‑/Format‑Register führen?

Ja. Verträge müssen auf ein aktuelles Online‑Register verweisen, das Datenstrukturen, Formate, Standards und offene Interoperabilitätsspezifikationen beschreibt.

Nächster Schritt: Registerlink einfordern und mit Importpfaden testen.

Dürfen Provider bestimmte Daten vom Export ausnehmen (Geschäftsgeheimnisse)?

Ja, Daten zur internen Funktionsweise des Dienstes dürfen eng begrenzt ausgenommen werden, sofern dies den Wechsel nicht behindert.

Nächster Schritt: Ausnahmen ausdrücklich benennen und auf Notwendigkeit prüfen.

Müssen APIs/Importformate offengelegt werden – was nicht?

Es gilt: offene Schnittstellen fördern, aber der Provider muss keine neuen Technologien entwickeln und IP/Trade‑Secrets nicht offenlegen.

Nächster Schritt: API‑Spezifikationen und Importformate vertraglich fixieren; proprietäre Elemente identifizieren.

Bekomme ich im Zielsystem „funktionale Gleichwertigkeit“?

Der Data Act setzt auf funktionale Gleichwertigkeit als Zielbild, aber kein 1:1‑Feature‑Klon. Klare Pflicht zur Unterstützung besteht vor allem bei IaaS; bei SaaS ist Gleichwertigkeit begrenzt zu erwarten.

Nächster Schritt: Migrations‑„Definition of Done“ mit fachlichen Akzeptanzkriterien festlegen.

Was, wenn der Provider „technisch unmöglich“ sagt?

Er muss dies innerhalb von 14 AT begründen und eine alternative Übergangsphase anbieten; insgesamt max. 7 Monate. Service‑Kontinuität ist zu wahren.

Nächster Schritt: Nachweis‑ und Begründungspflichten vertraglich absichern.

Fallen maßgeschneiderte (Custom) Lösungen unter die Wechselregeln?

Für Dienste, deren Hauptmerkmale überwiegend kundenspezifisch sind und nicht im breiten Maßstab angeboten werden, gelten Erleichterungen (u. a. zu Art. 29/30).

Nächster Schritt: Individuell vs. Katalogdienst sauber dokumentieren.

Gelten die Regeln auch für Test‑/Pilotverträge?

Nicht vollumfänglich: Nicht‑Produktiv‑Versionen zu Test‑/Evaluationszwecken und zeitlich begrenzt sind vom Kapitel VI ausgenommen.

Nächster Schritt: Teststatus und Zeitraum klar kennzeichnen.

Können wir den Wechsel im Parallelbetrieb/Multicloud fahren?

Ja. Kapitel VI fördert Interoperabilität und Parallelbetrieb; vertraglich sind offene Schnittstellen und Exportformate abzusichern.

Nächster Schritt: Technisches Konzept und SLA für Parallelbetrieb verankern.

Welche IoT‑Daten stehen uns als Nutzer zu?

Nutzer haben Anspruch auf Zugriff auf Produkt‑ und Service‑Daten vernetzter Produkte – einfach, sicher, kostenlos, strukturiert und maschinenlesbar, ggf. in Echtzeit, soweit technisch machbar.

Nächster Schritt: Prozesse für Anfragen, Formate und ggf. Echtzeit‑Zugriff definieren.

Dürfen wir einen Dienstleister/Dritten mit der Datenabholung beauftragen?

Ja. Nutzer können verlangen, dass der Datenhalter die Daten einem Dritten ihrer Wahl bereitstellt; dabei sind Geschäftsgeheimnisse zu schützen.

Nächster Schritt: NDA und Zugriffskonzept mit dem Dritten vereinbaren.

Kostet der IoT‑Datenzugang etwas?

Die Bereitstellung an den Nutzer ist kostenlos; Details zur Vergütung im B2B‑Datenteilen regelt Kapitel III (hier gelten Kostenmaßstäbe).

Nächster Schritt: Preismodell für Zusatzaufwände (z. B. besondere Extrakte) klären.

Wie verhält sich das zu personenbezogenen Daten (DSGVO)?

Die DSGVO bleibt vorrangig; der Data Act ergänzt die Rechte (z. B. Portabilität), kollidiert aber nicht mit Datenschutzrecht. Bei Konflikt gilt DSGVO.

Nächster Schritt: Technisch und organisatorisch DSGVO‑Pflichten im Exportprozess sicherstellen.

Wann sind unfaire B2B‑Klauseln rund um Daten unwirksam?

Einseitig auferlegte, unangemessene Klauseln zu Datenzugang/-nutzung, Haftung und Abhilfe sind nicht bindend. Es gibt „immer unfaire“ und „vermutet unfaire“ Klauseln.

Nächster Schritt: Vertragsmuster prüfen und problematische Klauseln streichen/neu verhandeln.

Ab wann gelten diese B2B‑Klausel‑Regeln für Altverträge?

Für Neuverträge seit 12. 09. 2025; für bestimmte Altverträge (unbefristet bzw. sehr lange Laufzeit) ab 12. 09. 2027.

Nächster Schritt: Altverträge inventarisieren und Nachträge planen.

Müssen wir Daten an Behörden geben („außergewöhnlicher Bedarf“)?

Ja, in eng begrenzten Fällen (z. B. öffentliche Notlagen). Schwerpunkt auf nicht‑personenbezogenen Daten; klare Verfahrens‑ und Vergütungsregeln.

Nächster Schritt: Interne Verfahrensanweisung für Behördenanfragen festlegen.

Wie sind ausländische Behördenzugriffe (z. B. CLOUD Act) geregelt?

Nicht‑personenbezogene Daten in der EU sind gegen unzulässige Drittstaat‑Zugriffe geschützt. Durchsetzung nur auf Grundlage eines völkerrechtlichen Abkommens; sonst gelten strenge Prüf‑ und Einwandsrechte.

Nächster Schritt: Provider‑Informationen zu Gerichtsbarkeiten und Schutzmaßnahmen vertraglich verlangen.

Welche Transparenzpflichten hat der Cloud‑Provider?

Er muss u. a. Gerichtsbarkeiten der eingesetzten Infrastruktur und Maßnahmen gegen unzulässige Drittstaat‑Zugriffe auf der Website offenlegen und im Vertrag referenzieren.

Nächster Schritt: Links im Vertrag hinterlegen und regelmäßig prüfen.

Gibt es EU‑Modellklauseln oder Vorlagen?

Die Kommission empfiehlt Modellklauseln für Daten‑Sharing und nicht bindende Standardklauseln für Cloud‑Verträge zur Orientierung.

Nächster Schritt: Sobald verfügbar, mit Ihren Musterverträgen abgleichen.

Dürfen während des Wechsels Standard‑Servicegebühren oder Supportkosten anfallen?

Ja, Standard‑Servicegebühren bleiben möglich. Switching‑Charges (Exit‑Gebühren) sind bis 2027 kostenbasiert reduziert, danach verboten; Early‑Termination‑Penalties bedürfen Transparenz und Rechtsgrundlage.

Muss der Zielanbieter mitwirken?

Ja, alle Beteiligten haben eine Good‑Faith‑Pflicht, den Wechsel wirksam zu machen und Kontinuität zu wahren; offene Schnittstellen und gängige Formate sind zu nutzen.

Quellen & weiterführende Hinweise

Verordnung (EU) 2023/2854 – EU Data Act
Offizieller Rechtstext im Amtsblatt der EU, veröffentlicht am 22.12.2023.
https://eur-lex.europa.eu/eli/reg/2023/2854/oj
EU-Kommission – Data Act kurz erklärt (Factpage)
Übersichtliche Erklärung der neuen Vorgaben und Vorteile, aktualisiert am 12.09.2025.
https://digital-strategy.ec.europa.eu/en/factpages/data-act-explained
EU-Kommission – Offizielle Informationsseite zum Data Act
Ziele, Anwendungsbereich und Hintergründe, zuletzt aktualisiert am 01.10.2025.
https://digital-strategy.ec.europa.eu/en/policies/data-act
Bundesnetzagentur – Deutscher Überblick zum Data Act
Kompakte Infos speziell für Deutschland, Stand 2025.
https://www.bundesnetzagentur.de/DE/Fachthemen/Digitales/DataAct/start.html
BEREC-Bericht – Auswirkungen auf Cloud- und Edge-Dienste
Ausführliche regulatorische Einschätzung der Auswirkungen des Data Act, veröffentlicht am 07.03.2024.
https://www.berec.europa.eu/system/files/2024-03/BoR (24) 52_Draft_Cloud_Report.pdf
EU-Kommission – Pressemitteilung zum Inkrafttreten des Data Act
Aktuelle Informationen zur Einführung des Data Act, 11.09.2025.
https://ec.europa.eu/commission/presscorner/detail/en/ip_25_2078

Sprechen Sie mit uns, wenn Sie Verträge anpassen, Exportpfade festziehen oder einen Wechsel strukturiert vorbereiten möchten. Wir klären die rechtlichen Spielräume und verhandeln belastbare Regelungen.

ELBKANZLEI Fachanwälte stehen für:

Kompetenz, Erfahrung, Präzision und Umsicht im IT-Recht.
Feste Ansprechpartner pro Mandat.
Leistungsstarke und zielgerichtete Mandatsbearbeitung.
Faire, transparente Honorare.

Bei Bedarf hören wir gern von Ihnen.

Abmahnung, Anbieterwechsel, Cloud-Wechsel, Egress-Gebühren, EU Data Act, EU-Verordnung, IoT-Daten, open-source, SaaS, Self-Hosting, Switching-Regeln, Vertragsklauseln, Vertragsrecht, Wettbewerbsrecht

Unsere Rechtsanwälte beraten Sie gern hierzu und stehen Ihnen ebenso gern zur Verfügung.

ELBKANZLEI Direktkontakt:

Oder nutzen Sie unser ELBKANZLEI Direktkontakt-Formular:

Nachname

Vorname

E-mail

Telefonnummer für Rückruf

Kontaktgrund

Ihre Frage/Anmerkung (optional)

Einwilligung in die Verarbeitung meiner Daten:

Hiermit willige ich in die Verarbeitung meiner Daten gemäß der Datenschutzerklärung der ELBKANZLEI (Ziff. 1. b)

Kanzleibrief der ELBKANZLEI:

Ich bin damit einverstanden, künftig von der ELBKANZLEI monatlich eine E-Mail mit Informationen bzgl. gewerblichem Rechtschutz, Medien-, IT- oder Markenrecht zu erhalten. Für diesen Zweck willige ich in die Verarbeitung meiner E-Mail-Adresse gemäß der Datenschutzerklärung der ELBKANZLEI (Ziff. 7. b) ein

Rechtsanwälte und Fachanwälte der Elbkanzlei

Rechtsanwalt & Fachanwalt für gewerblichen Rechtsschutz

Boris H. Nolting

Alle Beiträge »

Ihr Ansprechpartner