Zum Hauptinhalt springen

Deutscher Bundestag verabschiedet nationales Data-Act-Gesetz: Warum Durchsetzungs- und Compliance-Druck jetzt steigen

· 5 Minuten Lesezeit
Martin Dimmler
Ex-Manager @ Device Insight, Founder of The Data Act Kit

Am 26. März 2026 hat der Deutsche Bundestag das nationale Durchführungsgesetz zum EU Data Act verabschiedet.

Der EU Data Act gilt zwar bereits seit September 2025 unmittelbar in der gesamten Europäischen Union. Die Mitgliedstaaten müssen jedoch zusätzlich nationale Durchsetzungsstrukturen, zuständige Behörden und Sanktionsmechanismen festlegen.

Deutschland hat damit nun einen entscheidenden Schritt vollzogen.

Für Hersteller vernetzter Produkte, IoT-Plattformen und digitale Dienste steigt dadurch die praktische Dringlichkeit der Data-Act-Compliance deutlich.

Der EU Data Act gilt bereits in ganz Europa

Ein wichtiger Punkt wird in der Praxis noch immer häufig missverstanden.

Der EU Data Act ist eine EU-Verordnung und keine Richtlinie. Das bedeutet: Die Regelung gilt bereits unmittelbar in allen Mitgliedstaaten und muss nicht im klassischen Sinne in nationales Recht umgesetzt werden.

Gleichzeitig verpflichtet die Verordnung die Mitgliedstaaten ausdrücklich dazu, zusätzliche nationale Strukturen zu schaffen, darunter:

  • zuständige Behörden
  • Durchsetzungsverfahren
  • Bußgeldrahmen
  • Koordinierungsmechanismen
  • Verfahrensregeln für Beschwerden und Streitfälle

Diese nationalen Gesetze ersetzen den EU Data Act nicht. Sie machen seine Durchsetzung praktisch handhabbar.

Genau diesen Schritt hat Deutschland nun vollzogen.

Warum das deutsche Gesetz relevant ist

Bislang haben viele Unternehmen den EU Data Act eher als künftiges Regulierungsthema betrachtet, dessen praktische Durchsetzung noch unklar sei.

Diese Lage verändert sich jetzt.

Das deutsche Durchführungsgesetz schafft deutlich mehr Rechtssicherheit darüber, wie die Rechte aus dem Data Act in der Praxis tatsächlich ausgeübt und durchgesetzt werden können.

Das ist besonders relevant für:

  • Hersteller vernetzter Produkte
  • Anbieter industrieller IoT-Lösungen
  • Anbieter smarter Geräte
  • Hersteller vernetzter Maschinen
  • SaaS-Plattformen mit Bezug zu physischen Produkten
  • Aftermarket- und Service-Anbieter

Der Data Act gewährt Nutzern weitreichende Rechte in Bezug auf Daten aus vernetzten Produkten und verbundenen Diensten.

Dazu gehören zum Beispiel:

  • Zugang zu Produktdaten
  • Weitergabe von Daten an Dritte
  • Wechsel von Cloud- und Datenverarbeitungsanbietern
  • Zugang zu Daten für Aftermarket-Services
  • Beschränkungen unfairer Vertragsklauseln

Je konkreter die nationalen Verfahren werden, desto unrealistischer wird die Annahme, die Durchsetzung bleibe rein theoretisch.

Wie der Compliance-Druck in der Praxis steigt

Mit der Verabschiedung des deutschen Durchführungsgesetzes nimmt der Compliance-Druck auf mehreren Ebenen zu.

Klarere Durchsetzungswege

Nutzer, Geschäftskunden und Dritte erhalten mehr Klarheit darüber:

  • welche Behörden zuständig sind
  • wie Beschwerden eingereicht werden können
  • welche Sanktionen drohen
  • wie Streitigkeiten gelöst werden können

Das senkt die praktischen Hürden für die Durchsetzung erheblich.

Mehr Sichtbarkeit innerhalb von Unternehmen

Viele Organisationen haben den Data Act bislang vor allem als juristisches Thema behandelt.

Nationale Durchführungsgesetze verändern diese Wahrnehmung oft grundlegend, weil sie die Regulierung operativ statt abstrakt erscheinen lassen.

Typische Folgen sind:

  • interne Compliance-Projekte
  • technische Architektur-Reviews
  • Diskussionen über Produktanpassungen
  • Planung von APIs und Datenzugängen
  • Initiativen rund um Governance und Consent-Management

Wachsende Erwartungen von Kunden und Partnern

Mit zunehmender Bekanntheit werden Kunden und Geschäftspartner immer häufiger aktiv nachfragen:

  • Wie erhalten Nutzer Zugriff auf ihre Daten?
  • Wird Echtzeit-Datenaustausch unterstützt?
  • Können Dritte angebunden werden?
  • Wie wird Einwilligung organisiert?
  • Welche APIs stehen zur Verfügung?

Für viele Unternehmen führen diese Fragen direkt zu technischen Anforderungen, die heute noch gar nicht umgesetzt sind.

Die eigentliche Herausforderung ist vor allem technisch

Ein verbreitetes Missverständnis ist, dass Data-Act-Compliance im Wesentlichen aus juristischer Dokumentation besteht.

In der Realität sind viele Anforderungen tief in der technischen Architektur verankert.

Typische Umsetzungsherausforderungen sind:

  • Nutzer-Authentifizierung und Autorisierung
  • sichere Bereitstellung von APIs
  • Device-Onboarding und Eigentumsverwaltung
  • Consent-Management
  • Datenteilung mit Dritten
  • skalierbares Echtzeit-Datenstreaming
  • fein granulierte Zugriffskontrolle
  • Auditierbarkeit und Logging
  • Anforderungen an Cloud- und Edge-Architekturen

Gerade für Hersteller, deren Produkte historisch nie für einen externen Datenzugang auf Nutzerebene ausgelegt waren, ist das besonders anspruchsvoll.

Deutschland ist nicht allein

Deutschland ist eines von mehreren EU-Mitgliedstaaten, die derzeit nationale Durchsetzungsstrukturen rund um den EU Data Act aufbauen.

Der Umsetzungsstand in Europa ist jedoch weiterhin sehr unterschiedlich.

Einige Länder haben bereits nationale Durchführungsgesetze verabschiedet, andere befinden sich noch in der Entwurfs- oder Beratungsphase.

Den Umsetzungsstand in der Europäischen Union haben wir in einem separaten Artikel analysiert:

Überblick zur nationalen Umsetzung des EU Data Act in Europa

Was Unternehmen jetzt tun sollten

Das deutsche Durchführungsgesetz sollte als weiteres klares Signal verstanden werden, dass die Übergangsphase faktisch vorbei ist.

Unternehmen, die vom EU Data Act betroffen sind, sollten jetzt von der regulatorischen Beobachtung in die praktische Umsetzung wechseln.

Empfohlene nächste Schritte sind:

  1. Identifizieren, welche vernetzten Produkte in den Anwendungsbereich fallen
  2. Analysieren, welche Produkt- und Servicedaten erzeugt werden
  3. Prüfen, welche Nutzerzugriffe heute bereits möglich sind
  4. Mechanismen zur Datenteilung mit Dritten bewerten
  5. API- und Infrastruktur-Readiness einschätzen
  6. Consent- und User-Management-Prozesse überprüfen
  7. Interne Governance- und Support-Prozesse vorbereiten

Unternehmen, die die Umsetzung weiter aufschieben, riskieren später deutlich höhere Migrationskosten und operativen Druck.

Fazit

Die Verabschiedung des deutschen Data-Act-Gesetzes ist zum einen ein administrativer Schritt.

Sie markiert aber auch den Übergang von politischer Regulierung zu operativer Durchsetzung.

Der EU Data Act wird damit zunehmend zur Realität und es dürfte nicht lange dauern bis Nutzer EU-weit Ihr Recht durchsetzen wollen.