Neuer EU Data Act im Praxistest

Der Data Act der EU regelt die Nutzung und den Zugang zu Daten aus vernetzten Produkten und digitalen Diensten. Nutzer erhalten mehr Kontrolle über ihre Daten, während Unternehmen diese unter bestimmten Bedingungen bereitstellen müssen. Betroffen sind unter anderem Smart-Home-Geräte, vernetzte Fahrzeuge und industrielle Maschinen. Das Gesetz vereinfacht auch den Wechsel zwischen Cloud-Anbietern. Ab dem 12. September 2025 sind die Vorgaben verbindlich. 

Wie sich diese Vorschriften konkret umsetzen lassen, zeigt unser fiktives Fallbeispiel.

Die letzte Migration

Ein einfacher Wechsel der Cloud-Infrastruktur sollte es zumindest sein. Doch was als Routineanfrage beginnt, entpuppt sich für Lukas Maurer, CTO von CloudSol, als Bewährungsprobe. Der Data Act macht plötzlich alles komplizierter. Dieses fiktive Szenario zeigt, wie eine vermeintlich alltägliche Migration ungeahnte Herausforderungen mit sich bringt und was Unternehmen tun müssen, um compliant zu bleiben. 

Es begann mit einer Routine-Anfrage 

Lukas Maurer, Chief Technology Officer bei CloudSol, sass spätabends noch immer an seinem Schreibtisch. Der Kaffee, den er trinkt, ist längst kalt geworden, als auf seinem Bildschirm eine neue E-Mail aufblinkte. Betreff: «Anfrage auf Datenportabilität – E-Shop Solutions GmbH».

Lukas runzelte die Stirn. Der Kunde wollte wechseln und zwar zu einem aufstrebenden Cloud-Anbieter in Deutschland, der mit fortschrittlichen KI-Funktionen warb. Kein Drama, dachte Lukas. Wechsel passieren. Doch diese Anfrage war anders. Sie war präziser als üblich. Der Kunde verlangte eine vollständige Kopie aller Daten – maschinenlesbar, strukturiert, und in einem Format, das eine Echtzeit-Migrationsschnittstelle unterstützte. Keine Zusatzgebühren, keine versteckten Kosten. Ganz im Sinne des neuen Data Act. 

Das war neu. Und es war verpflichtend.

Doch damit nicht genug. Der Kunde wollte die Daten einem Drittanbieter übermitteln für eine bessere Analyse der Verkaufsdaten. Lukas wusste, was das bedeutete. Ein Dritter, der nur bestimmte Rechte haben durfte, kein Zugriff auf sensible Algorithmen, keine Entwicklung konkurrierender Produkte. Der Data Act war eindeutig. 

Dazu ist er verpflichtet, die Migration nicht zu behindern und die Daten in einem Format bereitzustellen, das mit anderen Systemen kompatibel war. Cloud Switching ohne Barrieren. Eigentlich eine Routineaufgabe. Aber eine neue Art von Routine, in der Daten auf beiden Seiten der Verbindung geschützt werden müssen.

1. Betroffenheitsanalyse - Wer ist hier wirklich betroffen?

Lukas wusste sofort, dass hier nicht nur der Kunde eine Rolle spielte. Die Betroffenheitsanalyse des Data Acts verlangte von CloudSol, die gesamte Wertschöpfungskette zu überprüfen. Wer war beteiligt? 

• CloudSol als Dateninhaber, 
• E-Shop Solutions als Nutzer, 
• der neue deutsche Anbieter als Datenempfänger, 
• und der Drittanbieter, der die Daten für Verkaufsanalysen nutzen wollte. 

Sogar die Behörden hätten in einer Krisensituation das Recht, auf die Daten zuzugreifen. Die exterritoriale Wirkung des Data Acts bedeutete, dass auch Schweizer Unternehmen wie CloudSol die Regeln der EU befolgen mussten, sobald sie auf dem europäischen Markt aktiv waren.

2. Gewährung von Zugangsrechten – Der Nutzer kontrolliert die Daten 

Der Kunde hatte ein Anrecht auf seine Daten, entweder durch direkten Zugang per Schnittstelle (Data Access by Design) oder durch eine indirekte Bereitstellung auf Anfrage. CloudSol muss sicherstellen, dass die Daten strukturiert, maschinenlesbar und sicher weitergegeben werden. Alles andere wäre eine Verletzung der neuen Vorschriften mit potenziell teuren Konsequenzen. 

3. Vorvertragliche Informationen – Transparenz vor dem Deal 

In den bisherigen Verträgen fehlen viele der nun geforderten Informationen: 

• Welche Daten wurden genau gesammelt? 
• Wie lange wurden sie gespeichert? 
• Welche Möglichkeiten hatte der Kunde, auf die Daten zuzugreifen? 

Lukas notiert sich, dass alle neuen Verträge künftig diese Transparenz sicherstellen müssen. Ohne diese vorvertraglichen Informationen würde CloudSol gegen die Vorschriften verstossen. 

4. Datennutzungsverträge – Wenn Daten geteilt werden Die Anfrage des Kunden geht noch weiter. 

Die Daten sollten einem Drittanbieter übergeben werden. Der Datennutzungsvertrag muss klar regeln, wofür der Drittanbieter die Daten verwenden darf – und was ausdrücklich untersagt ist. Die Bedingungen müssen fair, transparent und nicht-diskriminierend sein. 

5. Datennutzungsrecht durch Dritte – Schutz vor Missbrauch 

Lukas weiss, dass der Drittanbieter die Daten nicht für die Entwicklung eines Konkurrenzprodukts verwenden darf. Das ist gemäss dem Data Act strikt verboten. Zudem darf der Dritte die Daten nicht weitergeben oder ausnutzen, um CloudSol Marktvorteil zu untergraben. Jeder Zugriff muss vertraglich klar geregelt sein, inklusive Zweckbindung und Löschungspflichten nach der Verwendung. 

6. Technische Schutzmassnahmen – Die digitale Mauer 

Die grösste Gefahr liegt jedoch in den Algorithmen von CloudSol, die wertvolle Einblicke in die Datenverarbeitung bieten. Um diese Geschäftsgeheimnisse zu schützen, setzt Lukas auf technische Schutzmassnahmen: 

• Verschlüsselung der Datenübertragung, 
• Zugriffsprotokolle, die jeden Zugriff dokumentierten, 
• Einschränkungen über sogenannte Smart Contracts, die den Zugriff kontrollieren und automatisiert beenden, sobald ein Verstoss droht. 

7. Bereitstellung von Daten für öffentliche Stellen – Im Notfall verpflichtet 

Noch bevor die Migration abgeschlossen war, meldete sich eine deutsche Behörde. Ein Cyberangriff hatte mehrere Handelsplattformen lahmgelegt, und es wurden anonymisierte Daten zur Untersuchung benötigt. Der Data Act verpflichtet CloudSol, in solchen Krisensituationen relevante Daten bereitzustellen. Kostenlos und ohne Verzögerung. Die Behörden dürfen diese Daten jedoch nur für den spezifischen Zweck nutzen und müssen sie nach Beendigung der Untersuchung wieder löschen. 

8. Cloud Switching – Keine Barrieren beim Anbieterwechsel 

Die Migration selbst darf von CloudSol nicht blockiert werden. Der Kunde hat das Recht, den Anbieter frei zu wechseln. 

• Die Daten müssen nahtlos übertragen werden, 
• die Schnittstellen müssen kompatibel sein, 
• über bekannte Risiken muss informiert werden, 
• und spätestens ab 2027 darf CloudSol dafür keine Gebühren mehr verlangen. 

Die Interoperabilität der Systeme wird damit zum neuen Standard. Ein herber Verlust der Marktkontrolle, aber ein klarer Fortschritt für den Wettbewerb. 

9. Benennung eines Vertreters in der EU – Die neue Schnittstelle für die Behörden 

Als Schweizer Unternehmen muss CloudSol einen EU-Vertreter benennen. Die Wahl fiel auf ein Büro in Berlin, das als offizieller Ansprechpartner für die Einhaltung des Data Acts fungieren würde. Der Vertreter ist für alle regulatorischen Anfragen verantwortlich – von Beschwerden bis hin zu Anfragen der Behörden. 

10. Sanktionen und Vollzug – Ein teures Spiel 

Lukas ist sich der Konsequenzen bewusst, dass ein einziger Verstoss gegen den Data Act teuer werden kann. Bussgelder können ähnlich wie bei der DSGVO 

• bis zu 20 Millionen Euro 
• oder 4 % des weltweiten Jahresumsatzes betragen. 

CloudSol darf sich keinen Fauxpas leisten. Jeder Fehler, jede Versäumnis kann finanziellen Schaden anrichten, wie auch das Vertrauen der Kunden zerstören. 

Der neue Standard 

Als die Migration abgeschlossen war, atmete Lukas tief durch. Der Kunde hatte seine Daten erhalten, der Drittanbieter war vertraglich gebunden, und die Behörden hatten alle notwendigen Daten für ihre Untersuchung erhalten, ohne die Geschäftsgeheimnisse von CloudSol zu gefährden. 

Was wie eine Routine begonnen hatte, war zur ersten grossen Bewährungsprobe unter den neuen Regeln geworden. 

Der Data Act hatte den Spiess umgedreht – nicht der Anbieter kontrollierte die Daten, sondern der Nutzer.