Data Act umsetzen: Rechtsanwälte für Datenrecht, Datenzugang und Cloud-Switching
Der Data Act gilt – und stellt Unternehmen vor konkrete Entscheidungen: Welche Daten müssen zugänglich gemacht werden, welche Nutzungsrechte sind vertraglich zulässig, wie bleiben Geschäftsgeheimnisse geschützt und welche SaaS-, Cloud- oder Produktverträge müssen angepasst werden?
Seit 12. September 2025 müssen betroffene Unternehmen in der EU die Anforderungen der EU-Datenverordnung in Produkten, verbundenen Diensten, Datenzugangsprozessen, B2B-Verträgen und Cloud-/SaaS-Strukturen berücksichtigen. Der Data Act ist deshalb weniger ein abstraktes Compliance-Thema als eine operative Frage für Vertrieb, Produkt, Legal, Datenschutz, IT und Geschäftsmodell.
ITMR unterstützt Unternehmen bei der anwaltlichen Data-Act-Umsetzung – von der Anwendungsbereichsprüfung über Daten- und Vertragsmapping bis zu Klauseln, Informationspflichten, Anfrageprozessen, DSGVO-Schnittstellen und belastbarer interner Zuständigkeit.
So einfach funktioniert es
1. Data-Act-Betroffenheit klären.
Wir prüfen Rollen, Produkte, Dienste, Datenarten, Nutzergruppen, Verträge und Cloud-/SaaS-Strukturen.
2. Umsetzungslücken priorisieren.
Datenzugang, Geschäftsgeheimnisse, DSGVO, Vertragsklauseln, Exit-Pfade und Zuständigkeiten werden auf konkrete Risiken verdichtet.
3. Handlungsroute festlegen.
Sie erhalten eine anwaltlich strukturierte Umsetzungsgrundlage für Verträge, Prozesse, Dokumentation und Reaktion auf Datenzugangsverlangen.
Data-Act-Betroffenheit prüfen
Umsetzungsroute klären, Verträge und Datenzugang bewerten
Bereit für den Data Act?
Kontaktieren Sie uns unverbindlich. Wir erstellen für Sie individuelle Daten-Lösungen.
Ergebnis der Umsetzung
Was nach der Data-Act-Beratung belastbar geklärt sein sollte
Am Ende einer Data-Act-Umsetzung sollte nicht nur eine abstrakte rechtliche Einschätzung stehen. Entscheidend ist, dass Unternehmen wissen, ob sie betroffen sind, welche Daten und Verträge relevant sind, wie Anfragen beantwortet werden und wo Schutzgrenzen für Geschäftsgeheimnisse, personenbezogene Daten und Vertragspositionen verlaufen.
Anwendungsbereich und Datenmapping
ITMR prüft, ob und in welcher Rolle Ihr Unternehmen vom Data Act betroffen ist, welche Produkte, verbundenen Dienste, Cloud-/SaaS-Strukturen oder Datenflüsse relevant sind und welche Datenkategorien in der Umsetzung besonders beachtet werden müssen.
Vertragsrisiken und Klauselbedarf
Bestehende und geplante B2B-Datenverträge, Nutzungsrechte, Ausschlüsse, Entgeltregelungen, Zugangsbedingungen und Schutzklauseln werden darauf geprüft, ob sie zur neuen Data-Act-Logik passen oder angepasst werden sollten.
Prozess für Datenzugang und Geheimnisschutz
Unternehmen benötigen eine klare Linie, wie Datenzugangsverlangen geprüft, beantwortet, begrenzt oder abgelehnt werden können. Dazu gehört auch, wann Geschäftsgeheimnisse, Sicherheitsinteressen oder Rechte Dritter rechtlich belastbar eingebunden werden.
Abgleich mit Datenschutz und interner Zuständigkeit
Der Data Act ersetzt keine DSGVO-Prüfung. ITMR unterstützt dabei, Data-Act-Pflichten, Datenschutz, technische Umsetzbarkeit, Verantwortlichkeiten und priorisierte Maßnahmen so zusammenzuführen, dass Legal, Datenschutz, IT, Produkt und Vertrieb handlungsfähig werden.
Akuter Umsetzungsdruck
Wann Data-Act-Umsetzung nicht warten sollte
Der Data Act wird meist nicht durch eine abstrakte Rechtsfrage akut. Der Handlungsdruck entsteht, wenn Daten herausgegeben, verweigert, vertraglich zugesagt, technisch zugänglich gemacht oder als Geschäftsgeheimnis geschützt werden sollen.
Fristen & Übergänge
Was gilt jetzt – was folgt 2026/2027?
Data-Act-Pflichten praktisch umsetzen
Betroffene Unternehmen sollten Anwendungsbereich, Datenkategorien, Rollen, Zugangsprozesse, Informationspflichten, DSGVO-Schnittstellen und Vertragsgrundlagen belastbar prüfen. Datenzugangsverlangen sind keine Zukunftsfrage mehr, sondern müssen strukturiert beantwortet werden können.
Data access by design einplanen
Für vernetzte Produkte und verbundene Dienste, die nach diesem Stichtag in Verkehr gebracht werden, wird die technische und vertragliche Zugänglichkeit von Daten besonders relevant. Produktentwicklung, Legal, IT, Datenschutz und Vertrieb sollten diese Anforderungen vor Launch oder Relaunch gemeinsam abbilden.
Langlaufende B2B-Datenverträge prüfen
Bestimmte Altverträge können in die Regeln zu unfairen Vertragsklauseln einbezogen werden, insbesondere unbefristete oder sehr langfristige B2B-Verträge. Wer Datenzugang, Datennutzung, Entgelte, Ausschlüsse oder Geheimnisschutz langfristig geregelt hat, sollte die Klauseln rechtzeitig überprüfen.
Ein Datenzugangsverlangen liegt vor
Kunden, Nutzer, Partner oder Dritte verlangen Zugriff auf Produkt-, Nutzungs-, Service- oder Maschinendaten. Jetzt muss klar sein, ob ein Anspruch besteht, welche Daten betroffen sind und wo Schutzgrenzen verlaufen.
Ein vernetztes Produkt geht in den Markt
Bei Geräten, Maschinen, Sensorik, Apps oder verbundenen Diensten muss Datenzugang nicht erst im Streit, sondern bereits in Produkt, Vertrag, Information und Governance mitgedacht werden.
SaaS-, Cloud- oder Datenverträge werden erneuert
Alte Klauseln zu Datenzugang, Nutzung, Haftung, Exit, Vertraulichkeit und Portabilität können wirtschaftlich gewollt sein, aber rechtlich nicht mehr sauber tragen.
Kunden verlangen Exit oder Portabilität
Export, Migration, Interoperabilität, Wechselunterstützung und Vertragsende müssen rechtlich und technisch zusammenpassen, sonst wird der Exit zum Konfliktpunkt.
Geschäftsgeheimnisse stehen im Zugriffspfad
Datenzugang darf nicht zur unkontrollierten Offenlegung von Parametern, Produktlogik, Sicherheitsinformationen, Prozesswissen oder wirtschaftlich sensiblen Daten führen.
Legal, Produkt, IT und Vertrieb brauchen eine Linie
Ohne Verantwortlichkeiten, Freigaben, Standardantworten und Dokumentation bleibt die Data-Act-Umsetzung im operativen Alltag stecken.
Leistungspaket
Data Act umsetzen heißt: Datenzugang wirtschaftlich kontrollierbar machen
Die zentrale Frage lautet nicht, ob der Data Act „irgendwie“ relevant ist. Entscheidend ist, welche Rolle Ihr Unternehmen im konkreten Datenfluss einnimmt, welche Daten wirtschaftlich und rechtlich betroffen sind, welche Verträge angepasst werden müssen und wie Anfragen künftig beantwortet werden.
Das Ziel der Prüfung
Am Ende sollte eine entscheidbare Umsetzungsroute stehen: Welche Pflichten greifen, welche Daten sind herausgaberelevant, welche Schutzpositionen bestehen, welche Klauseln müssen angepasst werden und welche internen Prozesse tragen die Umsetzung.
Typischer Fehler
Viele Unternehmen behandeln den Data Act wie ein reines Datenschutz- oder Informationspflichtenthema. In der Praxis entscheidet sich der Fall aber oft an Produktdesign, Datenarchitektur, Vertragslogik, Cloud-Exit, Geschäftsgeheimnissen und interner Zuständigkeit.
Arbeitsstrecke
Die sechs Module einer belastbaren Data-Act-Umsetzung
Eine anwaltliche Umsetzung muss so konkret sein, dass Management, Legal, Produkt, IT, Vertrieb und Einkauf damit arbeiten können. Deshalb wird aus der Rechtsfrage ein strukturierter Prüf- und Umsetzungsweg.
Scope-Check: Rollen, Produkte und Dienste einordnen
Wir prüfen, ob vernetzte Produkte, verbundene Dienste, Dateninhaber-, Nutzer-, Datenempfänger-, Cloud- oder Drittanbieterrollen betroffen sind. Maßgeblich ist nicht das Schlagwort, sondern das tatsächliche Geschäftsmodell.
Datenmapping: herausgaberelevante Daten trennen
Produktdaten, Servicedaten, Metadaten, Maschinen- und Nutzungsdaten, personenbezogene Bezüge, Sicherheitsinformationen und Geschäftsgeheimnisse werden getrennt bewertet. So entsteht keine pauschale Freigabe- oder Blockadelogik.
Vertragsprüfung: Klauseln Data-Act-fest machen
AGB, SaaS-Verträge, Cloud-Bedingungen, Lieferverträge, Datenlizenzverträge, Data-Sharing-Regelungen, SLA, Exit-Klauseln und Vertraulichkeitsregelungen werden auf wirtschaftliche Tragfähigkeit und Angreifbarkeit geprüft.
Zugangsprozess: Anfragen rechtssicher beantworten
Unternehmen benötigen einen Prozess für Eingang, Identifikation, Anspruchsprüfung, Drittzugang, Format, Fristen, Ablehnung, Einschränkung, Kommunikation und Dokumentation von Datenzugangsverlangen.
Schutzkonzept: Geschäftsgeheimnisse und DSGVO sichern
Datenzugang, Vertraulichkeit, Zweckbindung, technische Zugriffsbeschränkungen, personenbezogene Daten, Rollen und Schutzmaßnahmen müssen zusammengeführt werden. Andernfalls entsteht Schutz erst, wenn der Konflikt bereits läuft.
Governance: Umsetzung intern entscheidbar machen
Die Umsetzung braucht Owner, Freigaben, Standardtexte, Eskalationswege, Vertragslinien und Nachweise. Ein gutes Ergebnis ist nicht nur juristisch richtig, sondern operativ verwendbar.
Betroffenheit
Für wen der Data Act besonders schnell mandatsrelevant wird
Vernetzte Produkte und Maschinen
Relevant bei Geräten, Fahrzeugen, Maschinen, Sensorik, Embedded-Systemen oder Hardware, die bei Nutzung Daten erzeugen oder nutzbar machen.
Verbundene Dienste und digitale Services
Relevant bei Apps, Portalen, Wartungsservices, Analysefunktionen, Dashboards oder Zusatzdiensten, die mit Produkt- oder Nutzungsdaten arbeiten.
Exit, Migration und Portabilität
Relevant bei Cloud- und SaaS-Modellen, wenn Datenexport, Anbieterwechsel, Interoperabilität, Vertragsende oder Wechselunterstützung verhandelt werden.
Maschinen-, Betriebs- und Wartungsdaten
Relevant für Unternehmen, die Daten aus Anlagen, Lieferketten, Produktionsumgebungen oder Serviceverhältnissen nutzen, erhalten oder teilen wollen.
Datenräume und Ökosysteme
Relevant bei Datenportalen, Plattformen, API-Strategien, Partnerzugängen, Datenprodukten oder Kooperationsmodellen.
EU-Markt ohne EU-Sitz
Relevant für Unternehmen außerhalb der EU, wenn Produkte, Dienste oder Datenmodelle auf den europäischen Markt ausgerichtet sind.
Entscheidungslagen
Worauf es vor Freigabe, Rollout oder Antwort ankommt
| Situation | Rechtliche Kernfrage | Praktischer Nutzen der Prüfung |
|---|---|---|
| Datenzugangsverlangen | Besteht ein Anspruch, in welchem Umfang und mit welchen Schutzgrenzen? | Keine vorschnelle Herausgabe, keine pauschale Ablehnung, dokumentierte Antwortlinie. |
| Produktlaunch | Muss Datenzugang technisch, vertraglich oder informatorisch vorbereitet werden? | Data-Act-Fragen werden vor Marktstart in Produkt, Nutzerinformation und Vertragswerk eingebaut. |
| Vertragsrollout | Sind Daten-, Haftungs-, Nutzungs-, Exit- und Vertraulichkeitsklauseln tragfähig? | Standardverträge werden nicht erst im Kundenkonflikt repariert. |
| Cloud- oder SaaS-Exit | Welche Portabilitäts-, Export-, Migrations- oder Interoperabilitätspflichten greifen? | Wechselprozesse werden rechtlich und operativ steuerbar. |
| Geschäftsgeheimnisse | Welche Daten oder Informationen dürfen nur geschützt, eingeschränkt oder unter Bedingungen zugänglich werden? | Know-how-Schutz wird vor der Offenlegung konkretisiert. |
| DSGVO-Schnittstelle | Enthalten die Daten personenbezogene Bezüge, und welche Rollen, Zwecke und Rechtsgrundlagen sind betroffen? | Data Act und Datenschutz werden nicht widersprüchlich umgesetzt. |
Vertragsnähe
Welche Klauseln bei der Data-Act-Umsetzung typischerweise kippen
Viele Data-Act-Risiken sitzen nicht in einem isolierten Compliance-Dokument, sondern in Verträgen, AGB, Produktbedingungen, Datenvereinbarungen und Exit-Regeln. Deshalb gehört die Vertragsprüfung zum Kern der Umsetzung.
Datenzugang und Format
Welche Daten werden zugänglich gemacht, in welchem Format, über welchen Pfad, mit welchen Metadaten und unter welchen technischen Voraussetzungen?
Nutzung und Zweckbindung
Wer darf Daten nutzen, weitergeben, analysieren, kombinieren oder wirtschaftlich verwerten? Zweck, Dauer und Reichweite sollten nicht offenbleiben.
Drittzugang und Datenempfänger
Wenn Nutzer Daten an Dritte übertragen lassen wollen, müssen Identifikation, Rolle, Schutzpflichten, Haftung und Missbrauchsrisiken geregelt werden.
Vergütung und Kosten
Entgelte, Zusatzleistungen, technische Unterstützung, Migration, Schnittstellenaufwand und Support müssen rechtlich und wirtschaftlich nachvollziehbar abgebildet werden.
Vertraulichkeit und Geschäftsgeheimnisse
Verträge sollten festlegen, wie Know-how, Sicherheitsinformationen, Produktlogik und sensible Parameter geschützt werden, ohne berechtigten Datenzugang pauschal zu blockieren.
Exit, Portabilität und Haftung
Bei SaaS und Cloud zählen Export, Migration, Wechselunterstützung, Leistungsgrenzen, Verantwortlichkeiten, Haftung und Dokumentation besonders stark.
Abgrenzung
Data Act ist kein isoliertes Compliance-Thema
Die Umsetzung wird stark, wenn Datenrecht, IT-Vertragsrecht, Datenschutzrecht, Geschäftsgeheimnisschutz und Governance zusammengeführt werden. Genau dort entstehen in der Praxis die wirtschaftlich relevanten Entscheidungen.
Datenrecht trägt den Kern
Wenn Datenzugang, Datennutzung, Datenweitergabe, Produktdaten, Cloud Switching oder datenbezogene Vertragsfairness im Mittelpunkt stehen, ist Datenrecht der sachnächste Einstieg.
Datenrecht & Data Act bei ITMRIT-Recht trägt Vertrag und Betrieb
Wenn SaaS, Cloud, Softwarebetrieb, SLA, Exit, Leistungsänderungen oder IT-Projektlogik den Fall prägen, muss die Data-Act-Linie in die IT-Verträge übersetzt werden.
IT-Recht für Software, SaaS, Cloud und IT-ProjekteDatenschutzrecht läuft mit
Sobald personenbezogene Daten in Datenflüssen enthalten sind, müssen Rechtsgrundlagen, Rollen, Zwecke, Transparenz und Betroffenenrechte sauber mitgeprüft werden.
Datenschutzrecht für UnternehmenGeschäftsgeheimnisse brauchen Schutzarchitektur
Wo Datenzugang Produkt-Know-how, Parameter, Prozesswissen, Sicherheitsinformationen oder wirtschaftlich sensible Daten berührt, reicht eine bloße Vertraulichkeitsklausel nicht aus.
Geschäftsgeheimnisschutz bei Daten- und IT-ProjektenUnterlagen
Was die erste Data-Act-Prüfung beschleunigt
Für eine belastbare Einordnung reichen oft wenige, aber richtige Informationen. Entscheidend ist, dass Produkt, Daten, Verträge und Anlass zusammen sichtbar werden.
Produkt und Dienst
- Beschreibung des Produkts, Dienstes oder SaaS-/Cloud-Modells
- Rolle Ihres Unternehmens im Markt und in der Lieferkette
- Nutzergruppen, Kundenstruktur und EU-Marktbezug
- geplanter Launch, Rollout, Audit oder Vertragswechsel
Daten und Technik
- Datenarten, Datenquellen und Metadaten
- API-, Export-, Portal-, Dashboard- oder Zugriffspfade
- technische Verfügbarkeit, Formate und Schnittstellen
- personenbezogene Daten, Security-Bezug und Geschäftsgeheimnisse
Verträge und Anlass
- AGB, SaaS-, Cloud-, Liefer- oder Datenverträge
- Data-Sharing-, Lizenz- oder Kooperationsklauseln
- Kundenforderungen, Verhandlungen oder Datenzugangsverlangen
- interne Zuständigkeiten und bisherige Prozesslogik
Typische Fehler
Was Unternehmen bei der Data-Act-Umsetzung vermeiden sollten
Zu frühe Zusage
Datenzugang wird im Vertrieb oder Support zugesagt, bevor Anspruch, Umfang, Format, Drittzugang, Personenbezug und Geheimnisschutz geprüft sind.
Zu pauschale Ablehnung
Ein Verlangen wird aus Schutzreflex abgelehnt, obwohl differenzierte Herausgabe, Einschränkung oder vertragliche Absicherung möglich wäre.
Veraltete Klauseln
AGB und Rahmenverträge enthalten Daten-, Exit- und Vertraulichkeitsregeln, die nicht mehr zum Datenmodell oder zur Data-Act-Risikolage passen.
Keine Owner
Legal, IT, Produkt, Datenschutz, Vertrieb und Einkauf bewerten denselben Datenfluss unterschiedlich, ohne gemeinsame Freigabelogik.
Unklare DSGVO-Schnittstelle
Nicht-personenbezogene und personenbezogene Daten werden nicht sauber getrennt; Rollen, Zwecke und Rechtsgrundlagen bleiben offen.
Schwacher Know-how-Schutz
Geschäftsgeheimnisse werden erst behauptet, wenn der Zugriff verlangt wird. Besser ist ein vorher dokumentiertes Schutzkonzept.
Interne Route
Welche ITMR-Seite je nach Schwerpunkt näher liegt
Die Data-Act-Umsetzung bleibt richtig, wenn Datenzugang, Datennutzung, Vertragsfairness, Cloud-Wechsel oder Zugriffspflichten den Mandatskern bilden. Je nach Lage kann eine angrenzende Spezialroute zusätzlich sinnvoll sein.
Amtliche Grundlage
Rechtsgrundlage sauber prüfen, Umsetzung konkret entscheiden
Die rechtliche Grundlinie sollte auf offiziellen Quellen beruhen. Für die praktische Umsetzung zählt anschließend, welche Daten, Verträge, Rollen und Schutzpositionen im konkreten Geschäftsmodell betroffen sind.
FAQ
Häufige Fragen zur Data-Act-Umsetzung
Wann sollte ein Unternehmen den Data Act anwaltlich prüfen lassen?
Wenn ein vernetztes Produkt, ein verbundener Dienst, ein SaaS- oder Cloud-Modell, ein Datenvertrag, ein Datenzugangsverlangen, ein Produktlaunch oder ein Geschäftsgeheimnis betroffen ist. Besonders sinnvoll ist die Prüfung vor Vertragsrollout, Kundenantwort, Produktfreigabe oder Cloud-Exit.
Müssen Unternehmen alle Daten herausgeben?
Nein. Herausgabe, Format, Umfang, Zweck, Drittzugang, Personenbezug, technische Verfügbarkeit, Sicherheit und Geschäftsgeheimnisse müssen im Einzelfall geprüft werden. Die Umsetzung sollte deshalb nicht pauschal auf Freigabe oder Ablehnung hinauslaufen.
Welche Verträge sollten wegen des Data Act geprüft werden?
Typisch sind AGB, SaaS- und Cloud-Verträge, Lieferverträge, Datenlizenzverträge, Data Sharing Agreements, Plattformbedingungen, Einkaufsbedingungen, Kooperationsverträge, Service-Level-Regelungen, Exit-Klauseln und Vertraulichkeitsvereinbarungen.
Ist der Data Act vor allem ein Datenschutzthema?
Nein. Datenschutz ist wichtig, wenn personenbezogene Daten betroffen sind. Der Data Act betrifft aber auch nicht-personenbezogene Produkt-, Nutzungs-, Maschinen-, Service- und Cloud-Daten sowie Vertragsfairness, Portabilität, Interoperabilität und Geschäftsgeheimnisse.
Was bedeutet der Data Act für SaaS- und Cloud-Anbieter?
SaaS- und Cloud-Anbieter sollten Vertragslaufzeiten, Kündigung, Export, Migration, Wechselunterstützung, Interoperabilität, Kundeninformation, SLA, Verfügbarkeit und Exit-Prozesse prüfen. Die rechtliche Bewertung muss mit der technischen Betriebsrealität zusammenpassen.
Wie lassen sich Geschäftsgeheimnisse beim Datenzugang schützen?
Durch vorherige Klassifizierung, technische und organisatorische Maßnahmen, Zugriffsbeschränkungen, Vertraulichkeitsregeln, Zweckbindungen, Dokumentation und klare Entscheidungswege. Der Schutz muss konkret nachweisbar sein, nicht nur behauptet werden.
Was sollte ein Unternehmen bei einem Datenzugangsverlangen zuerst tun?
Zuerst sollten Identität, Rolle, betroffene Daten, Anspruchsgrundlage, Zweck, Format, Personenbezug, Drittzugang, Geschäftsgeheimnisse und technische Verfügbarkeit geprüft werden. Eine schnelle Antwort ist hilfreich, aber eine unstrukturierte Zusage kann wirtschaftlich riskant sein.
Was ist das Ergebnis einer anwaltlichen Data-Act-Umsetzung?
Je nach Fall: Scope-Entscheidung, Datenmapping, Vertragsprüfung, Klauselvorschläge, Schutzkonzept für Geschäftsgeheimnisse, DSGVO-Abgleich, Anfrageprozess, Zuständigkeitsmodell, Risikomatrix und priorisierte Umsetzungsschritte für Legal, IT, Produkt, Vertrieb und Management.
Nächster Schritt
Bevor Daten zugesagt, verweigert oder vertraglich neu geregelt werden, sollte die Data-Act-Linie stehen
Der kritische Moment liegt oft vor der sichtbaren Eskalation: bevor ein Kunde Antwort erhält, ein Vertrag ausgerollt wird, ein Produkt in den Markt geht oder ein Cloud-Exit verhandelt wird. Dann entscheidet sich, ob Datenzugang steuerbar bleibt oder später zum Streit-, Audit- oder Deal-Risiko wird.
Für die erste Einordnung genügen meist Anlass, Produkt- oder Servicebeschreibung, betroffene Datenarten, Vertragslage, Cloud-/SaaS-Struktur und die Frage, welche Entscheidung kurzfristig getroffen werden muss.