Wem gehören eigentlich die Daten, die eine vernetzte Maschine, ein Fahrzeug oder ein smartes Gerät erzeugt? Bisher lautete die faktische Antwort meist, dass sie dem Hersteller gehören, denn nur er kam an sie heran. Der EU Data Act ändert das grundlegend. Ab dem 12. September 2026 müssen neu in Verkehr gebrachte vernetzte Produkte so konstruiert sein, dass Nutzer auf die erzeugten Daten direkt, einfach und kostenlos zugreifen können. Die Verordnung nennt das Zugang by Design.

Was der Data Act verlangt

Anwendbar ist der Data Act bereits seit September 2025. Die Stufe, die jetzt im September greift, betrifft die Produktgestaltung selbst. Vernetzte Produkte und die dazugehörigen digitalen Dienste müssen Nutzerdaten standardmäßig zugänglich machen, und zwar maschinenlesbar, strukturiert und möglichst direkt am Produkt oder über eine Schnittstelle. Nutzer haben außerdem das Recht, die Weitergabe ihrer Daten an Dritte zu verlangen, zum Beispiel an einen unabhängigen Wartungsdienstleister statt an den Service des Herstellers.

Parallel dazu arbeitet der deutsche Gesetzgeber gerade am Durchführungsgesetz, das die Durchsetzung regelt. Im Entwurf stehen Bußgelder von bis zu 500.000 Euro pro Verstoß, als zuständige Behörde ist die Bundesnetzagentur vorgesehen.

Wen es trifft und wen nicht

Betroffen sind Hersteller vernetzter Produkte, die in der EU verkauft werden, sowie Anbieter der damit verbundenen digitalen Dienste. Für den deutschen Mittelstand heißt das vor allem Maschinen- und Anlagenbauer, Gerätehersteller mit IoT-Funktionen und Anbieter von Telematik-, Mess- oder Steuerungslösungen. Es gibt zwar eine Ausnahme für Kleinst- und Kleinunternehmen mit weniger als 50 Mitarbeitern und unter 10 Millionen Euro Jahresumsatz. Sie gilt allerdings nicht, wenn das Unternehmen wirtschaftlich mit einem größeren verbunden ist oder als Auftragsfertiger für ein betroffenes Unternehmen arbeitet. Schon die Frage, ob man überhaupt betroffen ist, verdient deshalb eine saubere Prüfung.

Was Zugang by Design technisch bedeutet

In der Umsetzung beginnt alles mit einer Bestandsaufnahme der Daten. Man muss wissen, was das eigene Produkt überhaupt erzeugt, von den Rohdaten der Sensorik über aufbereitete Betriebsdaten bis zu Metadaten. Der Data Act verlangt, dass Nutzer schon vor dem Kauf über Art, Umfang und Zugriffsmöglichkeiten informiert werden. Ohne einen sauber dokumentierten Datenkatalog ist das nicht zu leisten.

Der Kern der Umsetzung ist dann die eigentliche Zugriffsmöglichkeit. Je nach Produkt kann das eine lokale Exportfunktion sein, eine REST-API oder ein kontinuierlicher Datenstrom. Bewährt haben sich offene Formate wie JSON oder CSV, dokumentierte Endpunkte und eine Authentifizierung, die den Nutzer selbst als Berechtigten abbildet und nicht nur den Hersteller. Wer bereits eine API-Strategie hat, erweitert sie. Wer bisher nur proprietäre Datensilos betreibt, braucht ein Konzept.

Dazu kommt das Zusammenspiel mit dem Datenschutz. Sobald personenbezogene Daten im Spiel sind, gelten Data Act und DSGVO nebeneinander. Das Berechtigungsmodell muss abbilden, wer Nutzer im Sinne des Data Act ist, also Käufer, Mieter oder Leasingnehmer, und welche Daten an Dritte fließen dürfen. Geschäftsgeheimnisse dürfen geschützt werden, aber nur mit konkreter Begründung und nicht pauschal.

Aus der Pflicht eine Chance machen

Ich empfehle bei diesem Thema einen Perspektivwechsel. Dieselbe Schnittstelle, die der Data Act erzwingt, ist die Grundlage für neue Services wie Predictive Maintenance, Kundenportale oder eigene Datenprodukte. Hersteller, die den Datenzugang sauber bauen, erfüllen nicht nur eine Vorschrift, sondern schaffen die technische Basis, um aus Betriebsdaten Geschäft zu machen. Ob der Data Act am Ende Compliance-Kosten verursacht oder eine Investition war, entscheidet sich in der Architektur.

Der Zeitplan ist sportlich, aber machbar. Erst die Betroffenheit klären, dann den Datenkatalog erstellen, die Schnittstelle spezifizieren, umsetzen und dokumentieren. Wer jetzt im Juli beginnt, kann zum Stichtag im September zumindest die neuen Produkte konform ausliefern und den Bestand danach strukturiert nachziehen.