Data Act

Data Act: Was IT-Teams jetzt umsetzen müssen

Der Data Act wird ab 12.09.2025 anwendbar. Er bricht Datensilos auf, verpflichtet Hersteller und Betreiber zu Datenzugang, und greift tief in Prozesse von IoT bis Cloud ein. Man profitiert, wenn man früh Dateninventur, Schnittstellen und Security-Kontrollen harmonisiert.

Kurzüberblick

  • Anwendbarkeit ab 12.09.2025, Designpflicht für neue Produkte ab 12.09.2026.
  • Nutzer erhalten Zugriff auf Produkt- und Servicedaten; Weitergabe an Dritte ist auf Anforderung möglich. Gatekeeper sind ausgenommen.
  • Cloud-Switching und Multi-Cloud werden gestärkt; Vorgaben zu fairen Bedingungen und Entgelten.
  • Keine eigenständige Rechtsgrundlage für personenbezogene Daten; DSGVO bleibt vorrangig.
  • EU empfiehlt Mustervertragsklauseln; Entwürfe liegen vor, final teils noch im Fluss.

Warum das Thema jetzt relevant ist

Mit dem Geltungsbeginn des Data Acts am 12.09.2025 endet die Schonfrist. Unternehmen müssen Datenzugänge bereitstellen, vertraglich absichern und technisch schützen. Verzögerungen betreffen nicht nur Compliance, sondern auch Geschäftsmodelle: Wartung, After-Sales-Services und datenbasierte Angebote hängen künftig an transparenten, sicheren Datenflüssen.

Ergänzend zum Data Act tritt mit dem Cyber Resilience Act eine weitere EU-Verordnung in Kraft, die neue Pflichten für Hersteller bringt und direkte Auswirkungen auf den sicheren Betrieb von Lösungen wie der Sophos Firewall hat.

Was sich ändert oder was neu ist

  • Datenzugang: Nutzer von vernetzten Produkten erhalten Zugriff auf Roh- und bestimmte aufbereitete Daten, die bei der Nutzung entstehen. Auf Wunsch ist eine direkte Bereitstellung an Dritte erforderlich. Gatekeeper nach DMA sind als Empfänger ausgeschlossen.
  • Produktdesign: Ab 12.09.2026 müssen verbundene Produkte so gestaltet sein, dass Daten standardmässig direkt verfügbar sind.
  • Cloud-Wechsel: Der Data Act reduziert Lock-in-Effekte, fördert Multi-Cloud und regelt faire Bedingungen beim Wechsel.
  • Vertragsregeln: Datenlizenzverträge zwischen Dateninhaber und Nutzer werden Pflicht. Die EU veröffentlicht nicht bindende Musterklauseln zur Unterstützung.

Technischer Überblick

Begriffe und Rollen

  • Dateninhaber: Stelle mit Zugriffshoheit auf Produkt- oder Servicedaten, häufig der Hersteller oder Betreiber. Auch Dienstleister, die in der Betriebsverantwortung stehen, können Dateninhaber sein. Sie müssen künftig Prozesse etablieren, um Nutzern den Zugang ohne Verzögerung zu ermöglichen.
  • Nutzer: Rechtmässige Verwender des Produkts oder Dienstes, inkl. Unternehmen. Dazu zählen auch Flottenbetreiber, Landwirte oder Endkunden, die mit vernetzten Geräten arbeiten. Nutzer erhalten nicht nur ein Informationsrecht, sondern ein unmittelbares Zugriffsrecht auf ihre Daten.
  • Dritte: Von Nutzern autorisierte Empfänger der Daten, jedoch keine Gatekeeper. Dritte können Servicepartner, unabhängige Werkstätten, Forschungsinstitutionen oder Softwareanbieter sein. Sie müssen über sichere Schnittstellen eingebunden werden.

Datenarten

  • Erfasst: Produktdaten und zugehörige Servicedaten aus Nutzung, einschliesslich Sensordaten, Statusmeldungen, Standortdaten und Metadaten. Auch aufbereitete Datensätze sind einbezogen, sofern sie zur Weiterverwendung bestimmt sind.
  • Nicht erfasst: Inhaltsdaten wie Dokumente, Bilder oder Kommunikation. Diese bleiben ausserhalb des Geltungsbereichs.
  • DSGVO-Schnittstelle: Personenbezug ist häufig möglich; der Data Act schafft keine eigene Rechtsgrundlage. Jede Herausgabe muss zusätzlich DSGVO-konform erfolgen, einschliesslich Prüfung der Rechtsgrundlage und ggf. Einwilligung.

Schnittstellen

  • Direktzugang bevorzugt; andernfalls standardisierte Bereitstellung, maschinenlesbar und möglichst in Echtzeit. Für Unternehmen bedeutet das die Einrichtung von APIs, Datenexport-Funktionen und klar dokumentierten Prozessen. Auch Monitoring, Authentifizierung und Berechtigungsprüfung gehören zur Schnittstellenarchitektur.

Praxisleitfaden

Vorbereitung

  1. Dateninventur: Systeme, Produkte, Sensoren und Datenschemata listen. Personenbezug antizipieren, Aggregationsgrade prüfen. Auch externe Datenquellen, Archivsysteme und Backup-Daten sollten berücksichtigt werden.
  2. Klassifizierung: Produkt- und Servicedaten gegenüber Inhaltsdaten trennen. DSGVO-Bezug und Rechtsgrundlagen pro Datensatz zuordnen. Zusätzlich Dokumentation der Kategorien und Lebenszyklen anlegen.
  3. Verträge: Datenlizenzklauseln für Neu- und Bestandsverträge vorbereiten; Draft-MCTs prüfen und bei Bedarf anpassen. Ergänzend interne Richtlinien und Schulungen für Vertragsverantwortliche erstellen.

Umsetzung

  1. Schnittstellen: API oder Export etablieren, AuthN/AuthZ implementieren, Ausgabeformate dokumentieren. Auch Versionierung und Testumgebungen bereitstellen.
  2. Autorisierung Dritter: Prozesse für Einwilligung bzw. Berechtigungsprüfung aufsetzen; Gatekeeper-Prüfung fest integrieren. Zusätzlich rollenbasierte Zugriffsmuster und zeitlich limitierte Token nutzen.
  3. Cloud-Switching: Wechselpfade, Datentransfer und Mapping planen; Multi-Cloud-Strategien definieren. Testmigrationen und Performance-Checks einplanen.
  4. Geheimnisschutz: Filter für Geschäftsgeheimnisse, Minimierung und Pseudonymisierung evaluieren. Technische Verfahren wie Data-Masking oder Differential Privacy prüfen.
  5. Change-Management: Prozesse für Updates und Änderungen an Schnittstellen dokumentieren und kommunizieren.

Validierung

  • Testfälle: Nutzer-Self-Service, Drittfreigabe, Widerruf, Fehlerszenarien. Auch Edge-Cases und Lasttests einbeziehen.
  • Protokollierung: Ausgaben, Empfänger, Zeitpunkte, Rechtsgrundlage auditierbar dokumentieren. Revisionssichere Speicherung und regelmässige Reports umsetzen.
  • Security-Tests: API-Pen-Tests, Rate-Limiting, Anomalieerkennung. Automatisierte Schwachstellen-Scans und Bug-Bounty-Programme erwägen.
  • Compliance-Checks: Interne Audits zur Sicherstellung von DSGVO- und Data Act-Konformität.

Rollback und Monitoring

  • Rollback-Pfad bei Fehlfreigaben. Szenarien für Wiederherstellung und Incident-Response dokumentieren.
  • Monitoring von Datenabflüssen via Firewall, IDS und SIEM; Alerts bei Volumen- oder Musterabweichungen. Zusätzlich Echtzeit-Dashboards und Eskalationsprozesse für Security-Teams implementieren.

Empfehlungen und Best Practices

Empfohlene Massnahmen

  • Dateninventur und Kategorisierung als Pflichtschritt.
  • API-First-Ansatz mit konsistenten Schemas.
  • Least-Privilege und fein granularer Consent.
  • Gatekeeper-Check automatisieren.
  • Logging und revisionssichere Nachweise.
  • Multi-Cloud-Switching früh testen.

Kompakte Zuordnungstabelle

MassnahmeZweckHinweis
DateninventurTransparenz und ScopeGrundlage für DSGVO-Prüfung
MCT-ReviewVertragsklarheitEU-Drafts nutzen, lokal anpassen
API-Rate-LimitsMissbrauchsschutzIn Firewall und API-Gateway kombinieren
Gatekeeper-FilterComplianceAbgleich gegen DMA-Listen
SIEM-KorrelationsregelnNachvollziehbarkeitEinbindung in bestehende Playbooks
Design ab 2026ZukunftssicherheitDirektzugang by design

Auswirkungen auf Sophos und andere Plattformen

  • Firewall-Policy: Neue Datenendpunkte und Admin-APIs benötigen Regeln, TLS-Inspection nach Risikoabwägung, Threat Feeds zur Anomalieerkennung. Ergänzend empfiehlt sich eine engmaschige Segmentierung und der Einsatz von Application-Control-Regeln für API-basierte Zugriffe.
  • Zero Trust: Für Drittzugriffe segmentierte Zonen und mTLS. Zusätzlich regelmässige Zertifikat-Rotation und Integration in bestehende Identity-Provider, um granulare Berechtigungen zu steuern.
  • SIEM/EDR: Events zu Datenfreigaben korrelieren, insbesondere ungewöhnliche Volumen oder Empfänger. Erweiterte Use-Cases sollten auch API-Fehler, Authentifizierungsversuche und nicht autorisierte Abfragen abdecken.
  • Cloud: Für Switch-Szenarien egress-Kontrollen und vertragliche Exit-Checklisten etablieren. Darüber hinaus Capacity-Planung, automatisierte Tests von Exit-Prozessen sowie Policies für Datenklassifizierung und Verschlüsselung berücksichtigen.
  • Backup und Archivierung: Daten, die aufgrund des Data Act freigegeben werden, sollten durch konsistente Backup- und Archivierungsstrategien abgesichert sein. Dies erlaubt ein Recovery bei Fehlfreigaben oder Missbrauch.
  • Reporting: IT-Teams sollten regelmässige Reports zu Datenabflüssen erstellen und an Compliance- sowie Managementebene weitergeben. So lässt sich Transparenz und Nachvollziehbarkeit sicherstellen.

Häufige Fragen

Wie grenzt man personenbezogene von nicht personenbezogenen Daten ab
Man prüft Kontexte und Verknüpfbarkeit. Standort- und Nutzungsdaten sind oft personenbeziehbar. Ohne passende DSGVO-Rechtsgrundlage keine Herausgabe.

Muss man Daten an jeden Dritten liefern?

Nur auf Anforderung des Nutzers und unter Einhaltung der Voraussetzungen. Gatekeeper sind ausgeschlossen.

Ab wann ist Direktzugang Pflicht?

Für neue Produkte und Dienste, die ab 12.09.2026 auf den Markt kommen. Bis dahin muss Bereitstellung auf Anfrage funktionieren.

Gibt es Musterklauseln?

Ja, die EU erarbeitet nicht bindende MCTs und Cloud-SCCs; ein EDPB-Statement zum Entwurf liegt vor.

Welche Rolle spielt Cloud-Switching?

Der Act fördert Wechsel und Multi-Cloud. Entgelte müssen fair und nicht diskriminierend sein.

Fazit

Der Data Act verlagert die Kontrolle über Produkt- und Servicedaten hin zu den Nutzern und öffnet Märkte für Services rund um Wartung, Analytik und Integration. Für IT-Teams bedeutet das Arbeit an drei Fronten: Dateninventur und Recht, sichere Schnittstellen, und operationalisierte Überwachung. Darüber hinaus entstehen neue Verantwortlichkeiten in den Bereichen Compliance-Management, Prozessdokumentation und Schulung von Mitarbeitenden. Auch das Zusammenspiel mit Cloud-Diensten und die Integration in bestehende Security-Architekturen müssen frühzeitig geplant werden. Wer früh standardisiert, automatisiert und Sicherungen einzieht, senkt Aufwand und Risiko und positioniert sich gleichzeitig für künftige regulatorische Entwicklungen sowie neue Geschäftsmodelle im datengetriebenen Umfeld.

Quellen

Patrizio
Patrizio

Patrizio ist ein erfahrener Netzwerk-Spezialist mit dem Schwerpunkt auf Sophos Firewalls, Switches und Access Points. Er unterstützt Kunden oder deren IT-Abteilung bei der Konfiguration und Migration von Sophos Firewalls und sorgt für eine optimale Netzwerksicherheit durch saubere Segmentierung und Firewall-Regelmanagement.

Newsletter abonnieren

Wir versenden monatlich einen Newsletter mit allen Blogbeiträgen des jeweiligen Monats.