Wer ist in Deutschland für Aufsicht und Beschwerden wichtig?

Für Deutschland sollte der aktuelle Stand immer konkret geprüft werden. Nach dem derzeitigen Umsetzungsstand soll die Bundesnetzagentur eine zentrale Rolle übernehmen; für datenschutzrechtliche Fragen ist die Rolle der BfDI mitzudenken. Für konkrete Verfahren, Beschwerden oder Sanktionsfragen empfiehlt sich deshalb eine aktuelle Einordnung statt schematischer Standardantworten.

Datenrecht & Data Act – Beratung zu Datenzugang, Verträgen und Governance

Datenrechtsberatung anfordern

Datenrecht Data Act Anwalt ITMR Düsseldorf

Datenzugang, Verträge, Governance

Wo der Data Act im Unternehmen praktisch einschlägt

Der Data Act ist für viele Unternehmen kein Randthema mehr. Er betrifft Produktdesign, Vertragsarchitektur, Datennutzung, Cloud-Strategie und Governance zugleich.

Praktisch relevant wird das überall dort, wo vernetzte Produkte, verbundene Dienste, SaaS- oder Plattformmodelle und datenbasierte Kooperationen wirtschaftlich zusammenlaufen. Dann reicht es nicht, nur Datenschutz mitzudenken. Zusätzlich geht es um Zugriffsrechte, Weitergabepflichten, Geschäftsgeheimnisse, technische Ausleitbarkeit, Vertragsfairness und die Abstimmung mit angrenzender Regulierung.

Als Kanzlei an der Schnittstelle von IT-Recht, Datenschutzrecht, Compliance, KI-Recht und Cybersecurity begleiten wir Unternehmen dabei, Datenmodelle wirtschaftlich nutzbar und rechtlich belastbar aufzusetzen.

Wichtige Übergänge für die Praxis

Der Data Act gilt grundsätzlich seit dem 12.09.2025.
Einzelne produktbezogene Anforderungen greifen mit Blick auf bestimmte neue vernetzte Produkte und verbundene Dienste erst ab dem 12.09.2026.
Die Kontrolle unfairer B2B-Datenklauseln ist für neue Verträge sofort relevant; bei bestimmten älteren Langläufern gewinnt sie ab dem 12.09.2027 zusätzlich an Gewicht.

Für wen der Data Act heute schon handlungsrelevant ist

Besonders dringend ist die Prüfung für Hersteller vernetzter Produkte, Anbieter verbundener Dienste, Plattformbetreiber, SaaS- und Cloud-Anbieter sowie Industrieunternehmen mit datenbasierten Service-, Wartungs- oder Plattformmodellen.

Sie stellen Nutzungs-, Geräte-, Telemetrie- oder Betriebsdaten wirtschaftlich bereit oder werten sie aus.
Sie nutzen Standardverträge, Plattformbedingungen, Einkaufsbedingungen oder Cloud-Verträge mit Datenklauseln.
Sie müssen Datenzugang, Geschäftsgeheimnisse und DSGVO sauber voneinander trennen.
Sie wollen Exit-Fähigkeit, Anbieterwechsel oder Multi-Cloud-Strukturen rechtlich belastbar aufsetzen.
Sie entwickeln neue Services aus Produkt- oder Nutzungsdaten und brauchen dafür eine tragfähige Governance.

Besonders oft unterschätzt

Der Data Act betrifft nicht nur Datenzugang. In vielen Mandaten stehen Cloud Switching, Exit-Fähigkeit, Lock-in-Risiken und technische Ausleitbarkeitsehr früh im Mittelpunkt – gerade bei SaaS-, Plattform- und datenbasierten Service-Modellen.

Was jetzt zählt

Scope, Rollen und Datenarten bestimmen
Vertragsklauseln und Standardwerke prüfen
Cloud-Exit, Wechselpfade und Governance sichtbar machen

Was bis 12.09.2026 vorbereitet sein sollte

Produkt- und Dienstelogik für neue vernetzte Produkte prüfen
Zugänglichkeit, Transparenz und technische Bereitstellung mitdenken
Produkt, Legal, IT und Security früh verzahnen

Was bis 12.09.2027 nicht liegen bleiben darf

Langlaufende Bestandsverträge mit Datenklauseln prüfen
Unfair aufgedrückte B2B-Klauseln systematisch bereinigen
Einkaufs- und Standardvertragswerke aktualisieren

Bereit für den Data Act?

Jetzt Hilfe anfordern.

Kontakt aufnehmen Warum wir?

Datenrecht ist nicht nur Datenschutz

Der häufigste Denkfehler liegt darin, den Data Act nur als Annex zur DSGVO zu lesen. Das greift zu kurz. Für Unternehmen wird die Lage klarer, wenn Datenschutz, Datenrecht und Vertrags-/Governance-Fragen nebeneinander betrachtet werden.

Vergleichspunkt

Datenschutzrecht

Datenrecht / Data Act

Vertrags- und Governance-Schnittstelle

Worum geht es?

Um personenbezogene Daten, Rechtsgrundlagen, Transparenz, Betroffenenrechte und Aufsichtsrisiken.

Um Datenzugang, Datennutzung, Weitergabe, Vertragsfairness, Cloud-Wechsel und wirtschaftliche Verwertbarkeit.

Um Rollen, Zuständigkeiten, Prozesse, Dokumentation und tragfähige Klauselwerke.

Welche Daten stehen im Fokus?

Personenbezogene und gemischte Daten.

Produktdaten, Nutzungsdaten, Telemetrie, Betriebsdaten und verbundene Dienstdaten.

Alle Datenarten, soweit sie in Verträgen, Freigaben, Zugriffsmodellen und Eskalationen abgebildet werden müssen.

Typische Risiken

Unzulässige Verarbeitung, fehlende Rechtsgrundlage, Betroffenenbeschwerden, Bußgelder und Schadensersatz.

Blockierter Datenzugang, unwirksame Datenklauseln, Lock-in-Risiken, unausgereifte Exit-Modelle und wirtschaftliche Reibung im Datenökosystem.

Unklare Rollen, widersprüchliche Vertragswerke, operative Nichtumsetzbarkeit und Konflikte zwischen Produkt, Vertrieb, Einkauf, IT und Legal.

Typische interne Owner

Datenschutz, Legal, IT-Security, Fachbereiche.

Produkt, Legal, Business Owner, Plattform- oder Service-Verantwortliche.

Legal, Einkauf, Vertrieb, IT, Operations, Compliance und Management.

Passende ITMR-Vertiefung

Datenschutzrecht, Datentransfer, Privacy Litigation

Data Act umsetzen, Digital Acts Audit

IT-Recht, Compliance, AGB und Standardklauseln

Typische Mandate und Problemsituationen

In der Praxis kommen Mandanten selten mit der abstrakten Frage, ob der Data Act „irgendwie gilt“. Meist geht es um konkrete wirtschaftliche Reibungspunkte.

Ein Hersteller will Datenzugänge eröffnen, ohne Geschäftsgeheimnisse und Produktlogik preiszugeben.
Ein Anbieter verbundener Dienste muss klären, welche Daten überhaupt bereitgestellt werden müssen und in welcher Form.
Ein Plattform- oder SaaS-Unternehmen will bestehende Vertragswerke Data-Act-fest machen, ohne den Vertrieb zu blockieren.
Ein Industrieunternehmen möchte Nutzungs- und Maschinendaten in Kooperationen oder Datenräumen verwerten.
Ein Cloud-Kunde oder Cloud-Anbieter muss Exit-, Migrations- und Lock-in-Fragen sauber strukturieren.
Ein Unternehmen braucht eine belastbare Linie zwischen Data Act, DSGVO, weiteren EU-Digitalgesetzen und interner Governance.

Data-Act-Umsetzung prüfen Digital-Acts-Gesamtscope prüfen

Die 5 häufigsten Praxisfehler beim Data-Act-Start

Viele Probleme entstehen nicht aus der Norm selbst, sondern aus einer zu späten oder zu groben Einordnung im Unternehmen.

1. Der Data Act wird vorschnell als Datenschutzthema einsortiert

Dann bleiben Vertragsfairness, Cloud-Wechsel, Produktzugänglichkeit und wirtschaftliche Datennutzung zu lange außerhalb der eigentlichen Projektsteuerung.

2. Datenarten werden nicht sauber getrennt

Produktdaten, Nutzungsdaten, Telemetrie, Account-Daten und Support-Informationen werden vermischt. Genau das erschwert Data-Act-, DSGVO- und Geheimnisschutz-Prüfungen unnötig.

3. Standardverträge bleiben unangetastet

Einkaufsbedingungen, Plattformverträge, Cloud-AGB und Datenlizenzklauseln werden oft zu spät geprüft, obwohl dort viele wirtschaftliche Risiken bereits angelegt sind.

4. Cloud-Exit wird erst im Konfliktfall relevant

Wer Exit-Fähigkeit, Datenexport und Migrationsunterstützung zu spät strukturiert, produziert unnötige Lock-in- und Verhandlungsrisiken.

5. Geschäftsgeheimnisse werden nur pauschal behauptet

Tragfähig sind nicht pauschale Verbote, sondern eine belastbare Datenklassifizierung, technische Zugriffskontrolle, Vertraulichkeitsmechanik und dokumentierte Schutzmaßnahmen.

Praxisnutzen

Wer diese fünf Fehler früh vermeidet, gewinnt meist nicht nur Rechtssicherheit, sondern auch klarere Zuständigkeiten zwischen Produkt, Vertrieb, Einkauf, Legal, IT und Security.

Welche Geschäftsmodelle besonders oft betroffen sind

Der Anwendungsbereich ist weit. Entscheidend ist weniger die Branchenbezeichnung als die Rolle im Datenökosystem und die konkrete technische und vertragliche Struktur.

Hersteller vernetzter Produkte

Etwa bei Maschinen, Fahrzeugen, MedTech, Smart Devices, Gebäudetechnik oder Industrieanlagen mit digitaler Konnektivität.

Anbieter verbundener Dienste

Etwa bei Apps, Portalen, Remote-Monitoring, Maintenance-, Analyse- oder Steuerungsdiensten, die funktional mit dem Produkt verbunden sind.

Dateninhaber und Datenempfänger

Relevant in B2B-Modellen, Datenkooperationen, Plattform-Set-ups, Mehrwertdiensten und datenbasierten Folgeangeboten.

Cloud-, SaaS-, PaaS- und IaaS-Anbieter

Vor allem bei Exit-Fähigkeit, Wechselprozessen, Interoperabilität, technischer Unterstützung und Vertragsgestaltung.

Nutzer auf Unternehmerseite

Auch Unternehmen als Nutzer vernetzter Produkte können Datenzugangsrechte strategisch nutzen, etwa für Wartung, Optimierung, Einkauf oder Anbieterwechsel.

Start-ups und neue Service-Layer

Gerade neue Produkte und Plattformen sollten Data-Act-Fragen früh im Produktdesign und im Vertragsmodell mitdenken. Passend ist bei ITMR auch das Start-up-Gespräch.

Wichtig

Ob Sie tatsächlich Pflichten erfüllen oder Rechte aktiv nutzen können, hängt nicht von einem Schlagwort auf der Website ab. Maßgeblich sind Produktarchitektur, Datenarten, Vertragslage, Marktrolle, technische Zugriffsmöglichkeiten und das Zusammenspiel mit anderen Regimen.

Welche Pflichten praktisch zählen

Unternehmen sollten den Data Act nicht als bloße Informationspflicht missverstehen. Er greift tief in Produktzugänglichkeit, Vertragsgestaltung und operative Prozesse ein.

Datenzugang und Bereitstellung

Es geht darum, ob Produktdaten und verbundene Dienstdaten für Nutzer oder benannte Dritte zugänglich gemacht werden müssen, in welcher Form dies zu erfolgen hat und wie dies technisch und organisatorisch abgebildet wird.

Vorvertragliche Transparenz

Bereits vor Vertragsschluss muss klarer werden, welche Daten entstehen, wer auf sie zugreifen kann und welche Nutzungsmöglichkeiten oder Beschränkungen gelten.

Vertragsfairness im B2B

Einseitig aufgedrückte Datenklauseln können unwirksam sein. Besonders relevant ist das bei Einkaufsbedingungen, Plattformbedingungen, Standardverträgen und Datenlizenzmodellen.

Cloud Switching und Exit-Fähigkeit

Vertraglicher Exit, Datenexport, technische Unterstützung und Schnittstellen müssen so gestaltet sein, dass Kunden nicht künstlich im System festgehalten werden.

Schutz vor unzulässigem Drittstaatenzugriff

Bei Datenverarbeitungsdiensten müssen Unternehmen auch Regeln zum Schutz vor bestimmten unzulässigen Zugriffsverlangen staatlicher Stellen aus Drittstaaten im Blick behalten.

Schnittstellen zu Spezialregimen

Einzelne Data-Act-Regeln greifen zusätzlich neben gesetzlichen Datenbereitstellungspflichten, Datenschutz, Security- und sektorspezifischen Vorgaben.

Bereit für Daten?

Jetzt Kontakt aufnehmen.

Kontakt aufnehmen Warum wir?

Verträge, Datenklauseln und Governance sauber verzahnen

Die meisten wirtschaftlichen Risiken entstehen nicht isoliert aus dem Gesetzestext, sondern aus schlecht abgestimmten Verträgen, Produktbedingungen und internen Verantwortlichkeiten.

Welche Vertragswerke regelmäßig betroffen sind

Produkt- und Servicebedingungen
Plattform- und Cloud-Verträge
Datenlizenz- und Kooperationsverträge
Einkaufsbedingungen und Standardklauselwerke
Exit-, Migrations- und Support-Regelungen
Vertraulichkeits- und Zugriffskonzepte

Was wir in der Prüfung typischerweise herausarbeiten

Wer Dateninhaber, Nutzer, Dritter oder Empfänger ist
Welche Datenarten tatsächlich ohne Weiteres verfügbar sind
Ob Klauseln einseitig aufgedrückt oder verhandelt wurden
Wie Preislogik, Haftung, Zweckbindung und Nutzungsgrenzen zusammenpassen
Ob die operative Ausleitung technisch und organisatorisch realistisch abbildbar ist

Gerade bei Standardverträgen, AGB-nahen Datenklauseln und großen Plattform- oder Einkaufsstrukturen sollte der Data Act nicht erst im Streitfall auftauchen. Häufig ist es effizienter, Vertragsumbau, Governance und Prozessdesign gemeinsam zu denken.

IT-Recht vertiefen AGB und Standardklauseln Governance und Compliance Data-Act-Umsetzung

Geschäftsgeheimnisse, DSGVO und Datenzugang

Viele Unternehmen fragen zuerst, ob sie sich mit Verweis auf Geschäftsgeheimnisse oder Datenschutz vollständig zurückziehen können. So einfach ist es regelmäßig nicht.

Geschäftsgeheimnisse sind Schutzgut, aber kein Pauschalstopp

Die saubere Linie liegt meist in Datenklassifizierung, Zweckbegrenzung, technischer Zugriffskontrolle, Vertraulichkeitsmechanik und dokumentierten Schutzmaßnahmen – nicht in einem undifferenzierten Totalverweigerungsmodell.

Die DSGVO läuft parallel weiter

Sobald personenbezogene oder gemischte Daten betroffen sind, müssen Rechtsgrundlagen, Rollenverteilung, Betroffenenrechte, Datensicherheit und internationale Transfers zusätzlich sauber geprüft werden.

Datenschutzrecht Datentransfer & Drittlandübermittlungen Privacy Litigation

Cloud Switching und Lock-in-Risiken richtig einordnen

Cloud Switching ist kein Randthema für Techniker, sondern eine juristisch-organisatorische Kernfrage. Relevant ist nicht nur, ob ein Vertrag kündbar ist, sondern ob Wechsel, Parallelbetrieb und Rückführung tatsächlich funktionieren.

Aus Sicht des Kunden

Unternehmen brauchen belastbare Exit-Regelungen, exportierbare Daten, realistische Migrationsunterstützung, klare Fristen und verlässliche Zusagen zum Leistungsübergang.

Aus Sicht des Anbieters

Anbieter müssen prüfen, welche Pflichten ihr Service-Modell konkret auslöst, wie Unterstützungspflichten wirtschaftlich abbildbar bleiben und wo Ausnahmen oder Einschränkungen transparent kommuniziert werden müssen.

Gerade in Multi-Cloud-, Plattform- oder sicherheitskritischen Set-ups sollte Cloud Switching nicht isoliert vom Sicherheits- und Governance-Modell betrachtet werden.

Cybersecurity NIS-2-Umsetzung IT-Verträge und digitale Projekte

Schnittstellen, die im Unternehmen nicht getrennt laufen dürfen

Der Data Act steht selten allein. Wirtschaftlich relevante Mandate liegen fast immer an Übergängen zu anderen Rechts- und Regulierungsfeldern.

KI und Datenzugang

Wer Daten für Training, Feinjustierung, Auswertung oder KI-gestützte Mehrwertdienste nutzt, muss Data-Act-Logik, Vertragsketten und KI-Governance zusammenführen.

Zum KI-Recht

Informationssicherheit und Resilienz

Datenzugänglichkeit darf nicht zu Sicherheitschaos führen. Rollen, Schnittstellen, Logging, Berechtigungen und Incident-Prozesse müssen deshalb mit Security- und Meldepflichten harmonieren.

Zur Cybersecurity · zur NIS-2-Umsetzung

Produkthaftung und digitale Güter

Bei vernetzten Produkten können Datenzugang, Remote-Funktionen, Software-Updates, Mängel- und Haftungsfragen eng ineinandergreifen.

Zum Produkthaftungsrecht

Sektorale Regulierung und Netzinfrastruktur

Je nach Geschäftsmodell spielen zusätzlich Telekommunikation, Plattformregulierung oder sektorale Spezialregeln hinein.

Zum Telekommunikationsrecht · zum Digital-Acts-Audit

Wie wir Unternehmen im Datenrecht unterstützen

Unsere Beratung setzt nicht erst beim Gesetzestext an. Ziel ist eine Struktur, mit der Produkt, Vertrieb, Einkauf, Legal, Datenschutz und IT handhabbar arbeiten können.

Betroffenheit und Scope sauber bestimmen

Rollen- und Datenmodell einordnen
Produkte, Dienste und Datenflüsse prüfen
Pflichtenkern von Randthemen trennen
Prioritäten für Management und Fachbereiche festlegen

Verträge und Governance belastbar aufsetzen

Datenklauseln und Standardverträge prüfen
Cloud- und Exit-Strukturen überarbeiten
Geheimnisschutz, Zweckbindung und Freigaben abstimmen
Prozesse für Anfragen, Eskalation und Dokumentation gestalten

Konflikte und Sonderlagen beherrschbar machen

Streit über Datenzugang und Datennutzung
Abwehr oder Durchsetzung datenbezogener Ansprüche
Abstimmung mit DSGVO-, Security- und KI-Fragen
Begleitung bei besonders sensiblen Branchen- oder Plattformfällen

Sinnvoll ist die Beratung besonders dann, wenn

Sie vor oder nach Markteinführung eines vernetzten Produkts Vertrags- und Datenlogik neu aufsetzen müssen,
Ihr Unternehmen bestehende Plattform-, Cloud- oder Datenverträge anpassen will,
Geschäftsgeheimnisse, personenbezogene Daten und wirtschaftliche Verwertung sauber voneinander getrennt werden müssen,
Sie Data Act, DSGVO, KI- und Security-Anforderungen nicht in Silos, sondern als zusammenhängendes Governance-Thema lösen möchten.

Data Act umsetzen IT-Recht Datenschutzrecht Compliance EU Digital Acts Audit

FAQ – Datenrecht und Data Act für Unternehmen

Die Einordnung hängt immer vom konkreten Geschäftsmodell ab. Die folgenden Antworten geben eine belastbare Orientierung für typische Unternehmerfragen.

Betrifft der Data Act auch reine B2B-Unternehmen?⌄

Ja, häufig sogar gerade dann. Besonders relevant ist der Data Act für Hersteller vernetzter Produkte, Anbieter verbundener Dienste, Cloud- und SaaS-Anbieter, Plattformbetreiber sowie Unternehmen, die Gerätedaten, Nutzungsdaten oder Maschinendaten wirtschaftlich einsetzen oder weitergeben. Ob konkrete Pflichten greifen, hängt aber nicht vom Schlagwort, sondern vom Produkt-, Vertrags- und Datenmodell ab.

Müssen wir wegen des Data Act immer alle Gerätedaten herausgeben?⌄

Nein. Maßgeblich sind vor allem die Rollen im konkreten Datenökosystem, die Art der ohne Weiteres verfügbaren Daten, der Nutzungszweck und die gesetzlichen Grenzen. In der Praxis muss geprüft werden, welche Daten zugänglich zu machen sind, in welchem Format dies geschehen muss und wo Schutzinteressen wie Datenschutz, Sicherheit oder Geschäftsgeheimnisse besondere Maßnahmen verlangen.

Dürfen wir Daten wegen Geschäftsgeheimnissen pauschal zurückhalten?⌄

Ein pauschales Nein des Dateninhabers ist regelmäßig nicht die richtige Antwort. Geschäftsgeheimnisse bleiben geschützt, müssen aber typischerweise durch technische und organisatorische Schutzmaßnahmen, Vertraulichkeitsregeln und eine saubere Zweckbindung abgesichert werden. Erst wenn erforderliche Schutzmaßnahmen nicht vereinbart oder nicht eingehalten werden, kann eine Verweigerung oder Aussetzung im Einzelfall in Betracht kommen.

Müssen bestehende Verträge überprüft werden?⌄

Ja, in vielen Fällen unbedingt. Für nach dem 12.09.2025 geschlossene Verträge gilt die Data-Act-Klauselkontrolle sofort; für bestimmte ältere, fortlaufende B2B-Verträge kann sie ab dem 12.09.2027 relevant werden. Unternehmen sollten deshalb Einkaufsbedingungen, Plattform- und Cloud-Verträge, Datenlizenzen, Kooperationsmodelle und Exit-Regelungen systematisch prüfen.

Was bedeutet Cloud Switching praktisch für Anbieter und Kunden?⌄

Cloud Switching ist mehr als ein Kündigungsrecht. Es geht um exit-fähige Vertragsstrukturen, Datenexporte in nutzbarer Form, technische Unterstützung, offene Schnittstellen und die Frage, ob ein Wechsel oder eine Multi-Cloud-Strategie tatsächlich ohne Lock-in gelingt. Je nach Service-Modell, Ausnahmen und technischer Architektur ist der konkrete Pflichtenumfang unterschiedlich.

Wie verhält sich der Data Act zur DSGVO?⌄

Beide Regime gelten nebeneinander. Sobald personenbezogene oder gemischte Daten betroffen sind, müssen Data-Act-Zugriff, Zweckbindung, Rechtsgrundlagen, Betroffenenrechte und Sicherheitsmaßnahmen mit der DSGVO zusammen gedacht werden. Gerade bei IoT-, Plattform- und KI-Konstellationen ist die saubere Datenklassifizierung deshalb entscheidend.

Wer sollte intern eingebunden werden?⌄

Meist nicht nur Legal oder Datenschutz. Sinnvoll beteiligt sind regelmäßig Produkt, Engineering oder IT, Informationssicherheit, Einkauf, Vertrieb, Operations und die für Daten verantwortlichen Fachbereiche. Der Data Act betrifft häufig Produktdesign, Vertragslogik, Supportprozesse, Schnittstellen und Eskalationswege gleichzeitig.

Ansprechpartner und nächster sinnvoller Schritt

Wenn Datenzugang, Produktlogik, Vertragsarchitektur und Governance gleichzeitig betroffen sind, ist frühe Struktur fast immer günstiger als spätere Korrektur im Konfliktfall.

Data-Act-Beratung anfragen Kontakt aufnehmen Warum ITMR

Dominik Skornia

Rechtsanwalt mit Tätigkeitsgebieten Datenschutzrecht, Datenrecht und IT-Recht. Besonders passend dort, wo Datenrecht, Datenschutz und digitale Vertrags- oder Streitfragen ineinandergreifen.

Profil ansehen

Jean Paul P. Bohne

Partner, Fachanwalt für IT-Recht und IT-Compliance-Manager. Besonders naheliegender Ansprechpartner, wenn Data Act, IT-Verträge, Digitalregulierung, Governance und wirtschaftliche Strukturierung zusammenlaufen.

Profil ansehen

Sinnvolle interne Vertiefungen bei ITMR

Data Act umsetzen Digital Acts Audit Datenschutzrecht Datentransfer KI-Recht Cybersecurity NIS-2-Umsetzung Produkthaftungsrecht Telekommunikationsrecht Vertragsgestaltung im IT-Recht Digitaler Omnibus