Data-Act-Check

Data Act prüfen: Datenzugang, Cloud-Switching und Datenverträge einordnen

Dieser interaktive Checker hilft Unternehmen, Herstellern vernetzter Produkte, Anbietern verbundener Dienste, SaaS-/Cloud-Anbietern, Dateninhabern, Datennutzern und B2B-Vertragspartnern, typische Pflichten und Risikosignale nach dem EU Data Act strukturiert vorzuprüfen.

Vernetzte Produkte Verbundenen Dienste Cloud/SaaS B2B-Datenklauseln DSGVO-Schnittstelle

Wofür der Data-Act-Check gedacht ist

Der Data Act gilt in wesentlichen Teilen seit dem 12.09.2025. Für neue vernetzte Produkte und verbundene Dienste wird insbesondere die Datenzugänglichkeit by design ab dem 12.09.2026 relevant. Dieser Check ersetzt keine Rechtsberatung, zeigt aber, ob Dateninventar, Rollenmapping, technischer Zugang, Cloud-Exit, Datenvertragsklauseln, Geschäftsgeheimnisse, Sicherheit oder Datenschutz priorisiert geprüft werden sollten.

Data-Act-Access-Board

Der Datenzugang als prüfbarer Kontrollpfad

Die Visualisierung zeigt den Data-Act-Prüfpfad als Access-Board: Daten entstehen, werden kontrolliert, angefragt, durch Schutzgates geprüft und erst danach technisch, vertraglich oder im Cloud-Exit bereitgestellt.

Aktiver Datenpfad

Data Act Readiness Map

Daten entstehen

Vernetztes Produkt, Maschine, Fahrzeug, Sensor, App oder verbundener Dienst erzeugt nutzungsbezogene Daten.

Daten werden kontrolliert

Dateninhaber, Anbieter oder Dienstleister bestimmt Zugriff, Speicherort, Schnittstellen und technische Verfügbarkeit.

Zugang wird verlangt

Nutzer, Kunde oder berechtigter Dritter möchte Daten einsehen, exportieren, weiterleiten oder verwenden.

Bereitstellung wird gesteuert

API, Export, Dashboard, Cloud-Exit, Vertrag und Logging entscheiden, wie Daten praktisch bereitgestellt werden.

Schutzgate

DSGVO, Geschäftsgeheimnisse, Cybersecurity, Produktintegrität und Missbrauchsrisiken werden vor Freigabe geprüft.

Vertragsgate

B2B-Datenklauseln, Nutzungszweck, Vergütung, Haftung, Zweckbindung, Exit-Regeln und unfaire Klauseln werden geprüft.

Cloud-Exit-Gate

Portabilität, Exportformate, Wechselunterstützung, Übergang, Löschung und Interoperabilität werden operationalisiert.

Gesamtansicht: Ordnen Sie zuerst Datenquelle, Dateninhaber, Nutzer, Dritte, Cloud-Rolle, Vertragslage und Schutzgrenzen ein.

Orientierung

Prüfpfad für Data-Act-Readiness

1Rolle bestimmen

Hersteller, Anbieter verbundener Dienste, Dateninhaber, Nutzer, Dritter, Cloud-Anbieter oder B2B-Vertragspartner.

2Daten inventarisieren

Produktdaten, Servicedaten, Rohdaten, abgeleitete Daten, personenbezogene Daten, Betriebsdaten und Speicherorte erfassen.

3Zugang prüfen

Nutzerzugang, Drittweitergabe, Formate, API, Dashboard, Authentifizierung, Fristen und Dokumentation strukturieren.

4Schutzgrenzen setzen

DSGVO, Geschäftsgeheimnisse, Cybersecurity, Produktintegrität, Zweckbindung und Missbrauchsrisiken berücksichtigen.

5Verträge anpassen

Datenklauseln, Cloud-Exit, Interoperabilität, Entgelt, Nutzungsrechte, Haftung und Eskalationsprozesse prüfen.

Einordnung

Was dieser Check leistet

Der Check liefert eine strukturierte Erstorientierung zu typischen Data-Act-Themen. Er ist besonders hilfreich, wenn Datenzugang, vernetzte Produkte, verbundene Dienste, Cloud-Switching, B2B-Datenklauseln oder gemischte Datenbestände mit Personenbezug betroffen sind.

Wann ist der Data Act relevant?

Relevant kann der Data Act sein, wenn vernetzte Produkte oder verbundene Dienste Daten erzeugen, Nutzer Zugang verlangen, Dritte Daten im Auftrag eines Nutzers erhalten sollen, Cloud-/SaaS-Wechsel zu unterstützen sind oder B2B-Datenverträge einseitig vorgegebene Datenklauseln enthalten.

Wie hängt der Data Act mit DSGVO, Geschäftsgeheimnissen und IT-Sicherheit zusammen?

Der Data Act verdrängt Datenschutzrecht nicht. Bei personenbezogenen oder gemischten Daten müssen Rechtsgrundlagen, Rollen, Informationspflichten, Betroffenenrechte und AVV/DPA-Fragen zusätzlich geprüft werden. Geschäftsgeheimnisse und Sicherheitsinteressen können Schutzmaßnahmen erforderlich machen, rechtfertigen aber regelmäßig keine pauschale Blockade.

Welche Grenzen hat der Check?

Der Check ersetzt keine Einzelfallprüfung. Nationale Durchsetzung, Zuständigkeiten, Sanktionen, technische Standards und Behördenpraxis können updatekritisch sein. Bei konkreten Datenanfragen, Streit, Cloud-Exit-Fristen oder Produktlaunches sollte die rechtliche und technische Situation gesondert geprüft werden.

Interaktiver Check

Data-Act-Risikoprofil erstellen

Beantworten Sie die folgenden Fragen. Am Ende erhalten Sie eine vorläufige Einordnung mit Priorität, Gründen, nächsten Prüfpunkten und Unterlagenliste für eine Anfrage.

Schritt 1 von 5

1. Welche Rolle beschreibt Ihr Unternehmen am besten? Hersteller oder Anbieter vernetzter ProdukteIoT-Geräte, Maschinen, Fahrzeuge, Sensoren, Smart Devices, Industrieanlagen oder sonstige connected products. Anbieter verbundener DiensteApp, Portal, Dashboard, Wartungs-, Analyse-, Monitoring- oder Steuerungsdienst zu einem vernetzten Produkt. Dateninhaber / Data HolderSie kontrollieren oder halten Daten, die durch Produktnutzung, Services, Plattformen oder Systeme entstehen. Nutzer oder Kunde mit DatenzugangswunschSie möchten Daten aus Produkten, Maschinen, Anlagen, Fahrzeugen oder digitalen Services erhalten. Dritter DatenempfängerSie sollen Daten auf Wunsch eines Nutzers erhalten, etwa für Wartung, Reparatur, Analyse, Versicherung oder Optimierung. Cloud-, SaaS- oder DatenverarbeitungsdienstSie bieten Cloud, SaaS, PaaS, IaaS, Hosting, Plattformbetrieb, Datenverarbeitung oder Exit-/Migrationsprozesse an. Öffentliche Stelle oder B2G-DatenanfrageEs geht um Datenzugang öffentlicher Stellen, außergewöhnlichen Bedarf, Krise oder behördliche Anfrage. B2B-Datenvertrag oder DatenlizenzDatenbereitstellung, Datenlizenz, Datenpooling, Datenkooperation, API-Zugang oder Datenklauseln stehen im Vordergrund.

2. Um welche Daten oder Systeme geht es? Produktnutzungsdaten aus vernetzten ProduktenDaten entstehen durch Nutzung eines Produkts, Geräts, Fahrzeugs, Sensors, einer Maschine oder Anlage. Daten aus verbundenem DienstDaten entstehen in App, Dashboard, Portal, Steuerungs-, Monitoring-, Wartungs- oder Analysedienst. Industriedaten, Maschinendaten oder BetriebsdatenProduktionsdaten, Performance-Daten, Wartungsdaten, Sensordaten, Anlagen- oder Prozessdaten. Fahrzeug-, Mobilitäts- oder TelematikdatenFlotten-, Lade-, Standort-, Zustands-, Nutzungs- oder Diagnosedaten. Cloud-, SaaS- oder DatenverarbeitungsdienstDatenportabilität, Wechsel zu anderem Anbieter, Interoperabilität, Exit, Migration, Löschung oder Lock-in. B2B-Datensatz oder DatenkooperationDatenbereitstellung zwischen Unternehmen, API-Zugang, Datenlizenz, Datenraum oder gemeinsame Datennutzung. Gemischte personenbezogene und nicht-personenbezogene DatenTechnische, betriebliche oder aggregierte Daten enthalten zugleich Personenbezug oder Rückschlussmöglichkeiten. Unklar / Dateninventar fehltEs ist noch nicht belastbar geklärt, welche Daten entstehen, wer sie kontrolliert und wer Zugriff verlangen kann.

4. Welche Umsetzung ist bereits vorhanden?

Bitte markieren Sie alles, was belastbar umgesetzt oder dokumentiert ist.

Dateninventar und Datenflüsse dokumentiertDatenarten, Speicherorte, Zugriffspunkte, Empfänger, Formate und Datenkategorien sind erfasst. Rollen nach Data Act und DSGVO zugeordnetDateninhaber, Nutzer, Dritte, Dienstleister, Verantwortliche, Auftragsverarbeiter und Empfänger sind eingeordnet. Technischer Zugriff, API oder Exportprozess vorhandenNutzerzugang, Exportfunktion, API, Dashboard, Authentifizierung und Protokollierung sind vorbereitet. Vertragsklauseln und Datenzugangsbedingungen vorbereitetDatenlizenz, Nutzungszweck, Vergütung, Haftung, Geheimhaltung, Sicherheit und Weitergabe sind geregelt. Geschäftsgeheimnis- und SicherheitskonzeptSchutzmaßnahmen, Zugriffsbeschränkungen, Geheimhaltungsvereinbarungen und Missbrauchsprotokoll sind definiert. DSGVO-Prüfung durchgeführtPersonenbezug, Rechtsgrundlagen, Informationspflichten, AVV, Drittlandtransfer und Betroffenenrechte sind geprüft. Cloud-/SaaS-Exit- und Switching-Prozess vorhandenExportformate, Wechselunterstützung, Übergang, Fristen, Löschung und Interoperabilität sind geregelt. Interner Prozess für Data-Act-AnfragenZuständigkeit, Fristen, Prüfung, Dokumentation, Freigabe und Kommunikation sind geregelt. Noch keine strukturierte Data-Act-ReadinessEinzelaspekte existieren, aber kein belastbares Gesamtkonzept.

5. Gibt es konkreten Handlungsdruck?

Bitte markieren Sie alles, was zutrifft.

Produktlaunch, Relaunch oder neue Datenfunktion steht bevorVernetztes Produkt, App, Dashboard, API, Datenservice oder Cloud-Angebot soll live gehen. Nutzer oder Kunde verlangt DatenzugangEin Kunde, Käufer, Leasingnehmer, Betreiber oder Geschäftspartner fordert Datenzugang oder Export. Dritter verlangt Daten auf Wunsch eines NutzersReparaturdienst, Wartungsanbieter, Analyseanbieter, Versicherer oder Softwarepartner verlangt Daten. Behörde oder öffentliche Stelle verlangt DatenEs gibt eine B2G-Datenanfrage, Krisenlage, Notlage oder öffentliches Interesse. Cloud-Wechsel, Kündigung oder Migrationsfrist läuftExit, Datenexport, Interoperabilität, Löschung oder Wechselunterstützung ist streitig oder zeitkritisch. Vertragsverhandlung oder Kunde verlangt Data-Act-KlauselnData-Act-Anlage, Datenzugangsvertrag, AGB, SaaS-Vertrag oder B2B-Datenlizenz wird verhandelt. Streit, Ablehnung, Abmahnung oder EskalationDatenzugang, Vergütung, Geschäftsgeheimnisse, Cloud-Exit oder Nutzungsrechte sind bereits streitig. Präventive PrüfungKeine akute Anfrage, aber Betroffenheit und Umsetzung sollen geklärt werden.

Fristen und Maßnahmen

Typische Data-Act-Prüffelder

Prüffeld	Typisches Risiko	Orientierung	Praktische Maßnahme
Allgemeiner Data-Act-Scope	Rolle und Datenumfang werden nicht erkannt.	Wesentliche Teile gelten seit 12.09.2025.	Dateninventar, Rollenmapping und Anfrageprozess aufsetzen.
Data access by design	Produkt oder Dienst ist technisch nicht auf Datenzugang vorbereitet.	Für neue vernetzte Produkte und verbundene Dienste ab 12.09.2026 besonders relevant.	API, Export, Dashboard, Authentifizierung, Logging und Formate planen.
Cloud-Switching und Exit	Lock-in, unklare Migration, Löschung oder Wechselunterstützung.	Cloud- und Datenverarbeitungsdienste gesondert prüfen.	Exit-Plan, Exportformate, Übergangsprozess, Löschung und Vertragsklauseln dokumentieren.
B2B-Datenklauseln	Einseitige oder unklare Klauseln zu Zugang, Nutzung, Haftung oder Entgelt.	Unfaire Vertragsklauseln können Data-Act-relevant sein.	Datenlizenz, Zweckbindung, Nutzungsgrenzen, Vergütung und Haftung prüfen.
DSGVO und gemischte Daten	Datenzugang wird ohne Datenschutzrolle, Rechtsgrundlage oder AVV geprüft.	Data Act und DSGVO müssen nebeneinander geprüft werden.	Personenbezug, Rechtsgrundlagen, Betroffenenrechte, AVV/DPA und Drittlandtransfer klären.
Geschäftsgeheimnisse und Security	Know-how oder Sicherheitsinteressen werden nicht geschützt oder pauschal vorgeschoben.	Schutzmaßnahmen müssen konkret und belastbar sein.	Geheimnisschutzkonzept, NDA, Zugriffsbeschränkung, Missbrauchsprotokoll und Security-Gate definieren.

Nächste sinnvolle Schritte

Data-Act-Frage strukturiert prüfen lassen

Wenn eine Datenanfrage, ein Produktlaunch, eine Cloud-Migration, ein B2B-Datenvertrag oder eine unklare Rollenlage besteht, kann ITMR die rechtliche Einordnung, Vertragsgestaltung und Dokumentation unterstützen.

Kontakt zu ITMR aufnehmen

Hinweis: Dieser Checker bietet eine erste Orientierung und ersetzt keine Rechtsberatung im Einzelfall. Gerade beim Data Act hängen Pflichten von Rolle, Produkt, Datenkategorien, Vertragslage, technischer Architektur, Personenbezug, Geschäftsgeheimnissen und nationaler Durchsetzungspraxis ab.

Data Act prüfen: Datenzugang, Cloud-Switching und Datenverträge einordnen

Wofür der Data-Act-Check gedacht ist

Der Datenzugang als prüfbarer Kontrollpfad

Prüfpfad für Data-Act-Readiness

Was dieser Check leistet

Data-Act-Risikoprofil erstellen

Warum dieses Ergebnis?

Empfohlene nächste Prüfpunkte

Sinnvoll vorzubereitende Unterlagen

Typische Data-Act-Prüffelder

Verwandte ITMR-Checker und Anschlussprüfungen

Data-Act-Frage strukturiert prüfen lassen