Stellen Sie sich Ihre Organisation als ein großes Gebäude vor. Nicht ein prunkvolles, glitzerndes Gebäude, sondern eher eine praktische Industriehalle mit Fluren, Türen, Schlüsseln, Zugangskarten und vielen "Das lösen wir später"-Notizen an den Schränken.
In diesem Gebäude fließen Daten wie Menschen durch die Flure: hinein, hinaus, zwischen Räumen, zwischen Lieferanten und zurück. Manchmal durch Glastüren, manchmal durch eine Seitentür, die jemand 2018 eingebaut hat und deren Schlüssel niemand mehr kennt.
Der EU Data Act ist im Grunde der Weg der EU zu sagen: "Dieses Gebäude muss Notausgänge haben, klare Schlüssel und Beschilderungen, die im Brandfall funktionieren."
Nicht um das Leben schwer zu machen, sondern um Nutzern und Kunden mehr Kontrolle zu geben, ungesunde Abhängigkeiten zu verringern und eine robustere Datenwirtschaft zu schaffen. Aber wie beim Brandschutz gilt: Sicherheit entsteht nur, wenn es in der Praxis funktioniert und nicht nur auf dem Papier.
Warum viele das Gesetz übersehen
Der Data Act ist eine EU-Verordnung, die seit September 2025 gilt. Dennoch wird sie oft übersehen, aus drei Gründen:
Sie wirkt administrativ und scheint sich nur mit Rechtlichem zu befassen, nicht mit der Realität.
Sie trifft indirekt über Lieferantenketten und Verträge, wodurch viele denken "Das ist jemand anderes Sache".
Sie vermischt Rollen: Sie können Kunde in einer Kette, Lieferant in einer anderen und "Data Holder" in einer dritten Rolle sein.
Dass die EU-Kommission sowohl unterstützendes Material als auch eine Data Act Legal Helpdesk eingerichtet hat (wo Organisationen Fragen zu Rechten, Pflichten, Cloud-Wechsel und Interoperabilität stellen können), zeigt für mich, dass viele Akteure Hilfe brauchen, um das Gesetz wirklich zu verstehen. Das Problem ist, dass viele nicht wissen, dass sie jetzt schon betroffen sind.
"Gilt das für uns?" (häufiger als gedacht)
Der EU Data Act gilt nicht für "alle Software". Aber er betrifft viele Bereiche, in denen es:
Vernetzte Produkte und zugehörige Dienste gibt
Data Holder, die Daten besitzen, auf die andere Zugriff haben dürfen
Cloud- und SaaS-ähnliche Dienste (Datenverarbeitungsdienste), bei denen der Data Act verlangt, dass Kunden den Anbieter ohne unangemessene Hindernisse wechseln können ("Switching") und der Prozess transparent und unterstützt sein muss
Wichtig ist: Auch wenn Sie sich nicht direkt betroffen sehen, können Sie Lieferant eines Betroffenen sein. Dann werden Sie durch Kundenanforderungen zu Switching, Transparenz und Rechten indirekt eingebunden.
Merken Sie sich: Das Gesetz gilt ab dem 12. September 2025 (mit einigen Teilen, die je nach Kapitel und Vertrag später starten). Das bedeutet, "Wir machen das später" wird schnell zu "Wir machen das erst, wenn es schon zu Ausfällen und Vertragsstreitigkeiten kommt". Wir müssen aus den Fehlern mit GDPR und NIS2 lernen und jetzt handeln.
Verbindung zu NIS2: unterschiedliche Gesetze, gleiche Realität
Wichtig ist hier: Data Act und NIS2 sind zwei verschiedene Regelwerke mit unterschiedlichen Zielen und Kernlogiken. In der Praxis treffen sie aber auf dieselbe Realität:
Der Data Act fördert mehr Datenzugang, -teilung, Portabilität und Anbieterwechsel.
Jedes neue Recht, Schnittstelle oder Übertragungsweg ist auch eine neue Angriffsfläche, die missbraucht werden kann, wenn Steuerung, Berechtigungen, Nachvollziehbarkeit und Kontrolle fehlen.
Aus Sicht von Sicherheitsvorfällen: Angreifer nutzen oft die Lieferkette als Einstieg. Ich habe das oft beschrieben. ENISA hat gezeigt, dass Supply-Chain-Angriffe sowohl in Anzahl als auch Komplexität zunehmen, was praktisch bedeutet, dass "die Korridore zwischen Gebäuden" (Lieferanten, Code, Dienste, Betrieb) oft der Startpunkt vieler Angriffe sind. Auch die Behörde für Zivilschutz bestätigt das.
Anders gesagt: Der Data Act kann Daten beweglicher und den Markt dynamischer machen, aber nur, wenn gleichzeitig Kontrollmechanismen aufgebaut werden. Sonst schaffen Organisationen mehr offene Türen als funktionierende Notausgänge – was Angreifern zugutekommt.
Welche Branchen sollten zuerst handeln?
Ganz praktisch: Diese Branchen sind oft früh im Fokus des Data Act – inklusive ihrer Lieferanten:
Energie (Messdaten, Betriebsdaten, Plattformen, OT/IT-Nähe, viele Lieferanten)
Fertigung/Industrie (Maschinendaten, Produktionsdaten, vorausschauende Wartung, Service-Ökosysteme)
Transport und Fahrzeugwesen (vernetzte Fahrzeuge, Telematik, Serviceketten)
Immobilien/Smart Buildings (Steuerungssysteme, Sensoren, Energieoptimierung)
Gesundheit/Medizintechnik (vernetzte Produkte und zugehörige Dienste)
Und in fast allen Fällen sind Cloud-/SaaS-Anbieter, Dienstleister und Betriebspartner indirekt betroffen durch Kundenanforderungen zu Switching, Transparenz und Rechten.
Wo es oft schiefgeht
Die meisten Organisationen übersehen den Data Act nicht aus Nachlässigkeit. Sie machen den klassischen Fehler:
Manche denken, es sei eine "juristische Angelegenheit" und ordnen sie in eine bereits überfüllte juristische Abteilung ein.
Andere sehen es als "IT-Thema" und legen es auf eine Projekt-Backlog.
Wieder andere erkennen nicht, dass es eine Steuerungs- und Lieferantenfrage ist, die von der Geschäftsleitung gesteuert werden muss.
Das ist, als würde man einen Defibrillator kaufen, ihn im Lager verstauen und sich sicher fühlen, weil das Gesetz es verlangt. Er hilft nur, wenn er zugänglich, bekannt, geübt und getestet ist. Und das passiert nur, wenn die Führung klare Vorgaben macht.
Drei Maßnahmen, die die verantwortliche Person jetzt ergreifen sollte
Hier sind drei einfache Schritte mit großer Wirkung, die aus einer ganzheitlichen Perspektive (Steuerung, Verträge, Betrieb, Lieferkette) funktionieren:
1) Erstellen Sie ein klares Lagebild für Entscheidungen
Beantworten Sie drei Fragen:
Sind wir Lieferant, Kunde oder Data Holder – oder alles gleichzeitig?
Welche Produkte/Dienste sind vernetzt und erzeugen Daten, auf die andere Zugriff haben könnten?
Welche Lieferanten gelten als Datenverarbeitungsdienste, bei denen ein Anbieterwechsel erforderlich sein könnte?
Stellen Sie diese Übersicht der Geschäftsleitung vor: "Das ist unsere Situation und warum."
2) Überprüfen Sie Verträge und Abhängigkeiten, als müssten Sie morgen den Anbieter wechseln
Nicht, weil Sie wechseln wollen, sondern um herauszufinden, ob Sie können. Achten Sie besonders auf exportierbare Daten, Pflichten beim Wechsel und technische/kommerzielle/vertragliche Hindernisse. Der Data Act verlangt, dass Wechsel erleichtert und Hindernisse beseitigt werden.
3) Bauen Sie "Assurance im Betrieb" in der Lieferkette auf
Vertragliche Anforderungen sind ein Anfang. Aber Sie müssen fortlaufend nachweisen können:
Aktuelle Liste der Abhängigkeiten
Fristen zur Behebung von Schwachstellen und Maßnahmen
Kontrollen, die zu Veränderungen führen (nicht nur Berichte)
Das ist besonders wichtig, weil die Lieferkette eine etablierte Angriffsroute im Bedrohungsumfeld ist.
Es geht nicht um Ordner, sondern um funktionierende Türen
Der Data Act verlangt keine Perfektion. Er verlangt, dass Sie Kontrolle über Ihre Datenströme, Ihre Abhängigkeiten und Ihre Fähigkeit, Rechte und Pflichten tatsächlich umzusetzen, nachweisen können.
Und um das Bild abzurunden: Die EU fordert nicht, ein neues Gebäude zu errichten, sondern sicherzustellen, dass Notausgänge vorhanden, beschildert und im Ernstfall zu öffnen sind. Auch wenn der Stress groß ist und jemand an der Tür zieht.
Das ist keine Bürokratie, sondern reifes Management der Sicherheit in der Lieferkette.
Quellen
Europäische Kommission. (o.D.). Data Act Legal Helpdesk. Gestaltung der digitalen Zukunft Europas.
Europäisches Parlament und Rat. (2023). Verordnung (EU) 2023/2854 (Data Act). EUR-Lex.
Agentur der Europäischen Union für Cybersicherheit (ENISA). (2021). Bedrohungslage bei Supply-Chain-Angriffen.
Latham & Watkins. (2025). EU Data Act: Wesentliche neue Anforderungen zum Anbieterwechsel für Datenverarbeitungsdienste.
