Quelle: Swico
Mehr Kontrolle über IoT-Daten - was der neue Data Act bringt
Artikel erschienen in IT Reseller 2025/04
Artikel erschienen in IT Reseller 2025/04
Mit dem Data Act schafft die EU klare Regeln für die Nutzung und den Zugang zu Daten aus vernetzten Produkten und digitalen Diensten. Nutzer erhalten mehr Kontrolle über ihre Daten, Unternehmen müssen sie unter fairen Bedingungen bereitstellen. Das betrifft zum Beispiel Smart-Home-Geräte, vernetzte Fahrzeuge oder Maschinen in der Industrie. Zudem macht das Gesetz den Wechsel zwischen Cloud-Anbietern einfacher. Auch Schweizer Unternehmen, die in der EU tätig sind, müssen die Vorgaben beachten. Der Data Act ist seit dem 11. Januar 2024 in Kraft, ab dem 12. September 2025 verbindlich. Verstösse können mit hohen Strafen geahndet werden.
Swico will Unternehmen gezielt auf die neuen Anforderungen vorbereiten. Die Swico-Q&As orientieren zu den technischen, vertraglichen und organisatorischen Veränderungen. So können Unternehmen die Auswirkungen des Data Acts einschätzen und Chancen sowie Risiken besser bewerten. Die Inhalte wurden von den Rechtsexpertinnen und -experten des Legal Circles und der Swico-Geschäftsstelle eigens für die Mitglieder erarbeitet.
Swico will Unternehmen gezielt auf die neuen Anforderungen vorbereiten. Die Swico-Q&As orientieren zu den technischen, vertraglichen und organisatorischen Veränderungen. So können Unternehmen die Auswirkungen des Data Acts einschätzen und Chancen sowie Risiken besser bewerten. Die Inhalte wurden von den Rechtsexpertinnen und -experten des Legal Circles und der Swico-Geschäftsstelle eigens für die Mitglieder erarbeitet.
Ein fiktives Praxisbeispiel
Ein einfacher Wechsel der Cloud-Infrastruktur sollte es sein. Doch was als Routineanfrage beginnt, entpuppt sich für Lukas Maurer, CTO von CloudSol, als Bewährungsprobe. Der Data Act macht plötzlich alles komplizierter. Dieses fiktive Szenario zeigt, wie eine vermeintlich alltägliche Migration ungeahnte Herausforderungen mit sich bringt und was Unternehmen tun müssen, um compliant zu bleiben.Lukas Maurer sass spätabends noch immer an seinem Schreibtisch. Der Kaffee, den er trinkt, ist längst kalt geworden, als auf seinem Bildschirm eine neue E-Mail aufblinkte. Betreff: «Anfrage auf Datenportabilität – E-Shop Solutions GmbH». Lukas runzelte die Stirn. Der Kunde wollte wechseln, und zwar zu einem aufstrebenden Cloud-Anbieter in Deutschland, der mit fortschrittlichen KI-Funktionen warb. Kein Drama, dachte Lukas. Wechsel passieren. Doch diese Anfrage war anders. Sie war präziser als üblich. Der Kunde verlangte eine vollständige Kopie aller Daten – maschinenlesbar, strukturiert, und in einem Format, das eine Echtzeit-Migrationsschnittstelle unterstützt. Keine Zusatzgebühren, keine versteckten Kosten. Ganz im Sinne des neuen Data Act. Das war neu. Und es war verpflichtend.
Doch damit nicht genug. Der Kunde wollte die Daten einem Drittanbieter übermitteln für eine bessere Analyse der Verkaufsdaten. Lukas wusste, was das bedeutet. Ein Dritter, der nur bestimmte Rechte haben durfte, kein Zugriff auf sensible Algorithmen, keine Entwicklung konkurrierender Produkte. Der Data Act ist eindeutig. Dazu ist er verpflichtet, die Migration nicht zu behindern und die Daten in einem Format bereitzustellen, das mit anderen Systemen kompatibel war. Cloud Switching ohne Barrieren.
Eigentlich eine Routineaufgabe. Aber eine neue Art von Routine, in der Daten auf beiden Seiten der Verbindung geschützt werden müssen.
Hier gelangen Sie zum Swico Q&A rund um den EU Data Act. (Quelle: Swico)
1. Betroffenheitsanalyse – Wer ist hier wirklich betroffen?
Lukas wusste sofort, dass hier nicht nur der Kunde eine Rolle spielt. Die Betroffenheitsanalyse des Data Acts verlangte von CloudSol, die gesamte Wertschöpfungskette zu überprüfen. Wer war beteiligt?
- CloudSol als Dateninhaber,
- E-Shop Solutions als Nutzer,
- der neue deutsche Anbieter als Datenempfänger,
- und der Drittanbieter, der die Daten für Verkaufsanalysen nutzen wollte.
Sogar die Behörden hätten in Krisensituationen das Recht auf Datenzugriff. Die exterritoriale Wirkung des Data Acts bedeutet, dass auch Schweizer Unternehmen die Regeln der EU befolgen müssen, sobald sie auf dem europäischen Markt aktiv sind.
2. Gewährung von Zugangsrechten – Der Nutzer kontrolliert die Daten
Der Kunde hatte ein Anrecht auf seine Daten, entweder durch direkten Zugang per Schnittstelle (Data Access by Design) oder durch eine indirekte Bereitstellung auf Anfrage. CloudSol musste sicherstellen, dass die Daten strukturiert, maschinenlesbar und sicher weitergegeben werden.
3. Vorvertragliche Informationen – Transparenz vor dem Deal
In den bisherigen Verträgen fehlen viele der nun geforderten Informationen:
- Welche Daten wurden genau gesammelt?
- Wie lange wurden sie gespeichert?
- Welche Möglichkeiten hatte der Kunde, auf die Daten zuzugreifen?
Lukas notierte sich, dass alle neuen Verträge künftig diese Transparenz sicherstellen müssen. Ohne diese vorvertraglichen Informationen würde CloudSol gegen die Vorschriften verstossen.
4. Datennutzungsverträge – Wenn Daten geteilt werden
Die Anfrage des Kunden geht noch weiter. Die Daten sollten einem Drittanbieter übergeben werden. Der Datennutzungsvertrag muss klar regeln, wofür der Drittanbieter die Daten verwenden darf und was ausdrücklich untersagt ist. Die Bedingungen müssen fair, transparent und nicht-diskriminierend sein.
5. Datennutzungsrecht durch Dritte – Schutz vor Missbrauch
Lukas weiss, dass der Drittanbieter die Daten nicht für die Entwicklung eines Konkurrenzprodukts verwenden darf. Das ist gemäss dem Data Act strikt verboten. Zudem darf der Dritte die Daten nicht weitergeben oder ausnutzen, um CloudSols Marktvorteil zu untergraben. Jeder Zugriff muss vertraglich klar geregelt sein, inklusive Zweckbindung und Löschungspflichten nach der Verwendung.
Lukas wusste sofort, dass hier nicht nur der Kunde eine Rolle spielt. Die Betroffenheitsanalyse des Data Acts verlangte von CloudSol, die gesamte Wertschöpfungskette zu überprüfen. Wer war beteiligt?
- CloudSol als Dateninhaber,
- E-Shop Solutions als Nutzer,
- der neue deutsche Anbieter als Datenempfänger,
- und der Drittanbieter, der die Daten für Verkaufsanalysen nutzen wollte.
Sogar die Behörden hätten in Krisensituationen das Recht auf Datenzugriff. Die exterritoriale Wirkung des Data Acts bedeutet, dass auch Schweizer Unternehmen die Regeln der EU befolgen müssen, sobald sie auf dem europäischen Markt aktiv sind.
2. Gewährung von Zugangsrechten – Der Nutzer kontrolliert die Daten
Der Kunde hatte ein Anrecht auf seine Daten, entweder durch direkten Zugang per Schnittstelle (Data Access by Design) oder durch eine indirekte Bereitstellung auf Anfrage. CloudSol musste sicherstellen, dass die Daten strukturiert, maschinenlesbar und sicher weitergegeben werden.
3. Vorvertragliche Informationen – Transparenz vor dem Deal
In den bisherigen Verträgen fehlen viele der nun geforderten Informationen:
- Welche Daten wurden genau gesammelt?
- Wie lange wurden sie gespeichert?
- Welche Möglichkeiten hatte der Kunde, auf die Daten zuzugreifen?
Lukas notierte sich, dass alle neuen Verträge künftig diese Transparenz sicherstellen müssen. Ohne diese vorvertraglichen Informationen würde CloudSol gegen die Vorschriften verstossen.
4. Datennutzungsverträge – Wenn Daten geteilt werden
Die Anfrage des Kunden geht noch weiter. Die Daten sollten einem Drittanbieter übergeben werden. Der Datennutzungsvertrag muss klar regeln, wofür der Drittanbieter die Daten verwenden darf und was ausdrücklich untersagt ist. Die Bedingungen müssen fair, transparent und nicht-diskriminierend sein.
5. Datennutzungsrecht durch Dritte – Schutz vor Missbrauch
Lukas weiss, dass der Drittanbieter die Daten nicht für die Entwicklung eines Konkurrenzprodukts verwenden darf. Das ist gemäss dem Data Act strikt verboten. Zudem darf der Dritte die Daten nicht weitergeben oder ausnutzen, um CloudSols Marktvorteil zu untergraben. Jeder Zugriff muss vertraglich klar geregelt sein, inklusive Zweckbindung und Löschungspflichten nach der Verwendung.
6. Technische Schutzmassnahmen – Die digitale Mauer
Die grösste Gefahr liegt jedoch in den Algorithmen, die wertvolle Einblicke in die Datenverarbeitung bieten. Um diese Geschäftsgeheimnisse zu wahren, setzt Lukas auf technische Schutzmassnahmen:
- Verschlüsselung der Datenübertragung,
- Protokolle, die jeden Zugriff dokumentieren,
- Einschränkungen über sogenannte Smart Contracts, die den Zugriff kontrollieren und automatisiert beenden, sobald ein Verstoss droht.
7. Bereitstellung von Daten für öffentliche Stellen – Im Notfall verpflichtet
Noch bevor die Migration abgeschlossen war, meldete sich eine deutsche Behörde. Ein Cyberangriff hatte mehrere Handelsplattformen lahmgelegt, und es wurden anonymisierte Daten zur Untersuchung benötigt. Der Data Act verpflichtet CloudSol, in solchen Krisensituationen relevante Daten bereitzustellen. Kostenlos und ohne Verzögerung. Die Behörden dürfen die Daten jedoch nur für den spezifischen Zweck nutzen und müssen sie anschliessend löschen.
8. Cloud Switching – Keine Barrieren beim Anbieterwechsel
Die Migration selbst darf von CloudSol nicht blockiert werden. Der Kunde hat das Recht, den Anbieter frei zu wechseln.
- Die Daten müssen nahtlos übertragen werden,
- die Schnittstellen müssen kompatibel sein,
- über bekannte Risiken muss informiert werden,
- und spätestens ab 2027 darf CloudSol dafür keine Gebühren mehr verlangen.
Die Interoperabilität der Systeme wird damit zum neuen Standard. Ein herber Verlust der Marktkontrolle, aber ein klarer Fortschritt für den Wettbewerb.
9. Benennung eines Vertreters in der EU – Die neue Schnittstelle für die Behörden
Als Schweizer Unternehmen muss CloudSol einen EU-Vertreter benennen. Die Wahl fiel auf ein Büro in Berlin, das als offizieller Ansprechpartner für die Einhaltung des Data Acts fungiert. Der Vertreter ist für alle regulatorischen Anfragen verantwortlich – von Beschwerden bis hin zu Anfragen der Behörden.
10. Sanktionen und Vollzug – Ein teures Spiel
Lukas ist sich der Konsequenzen bewusst, dass ein Verstoss gegen den Data Act teuer werden kann. Bussgelder können ähnlich wie bei der DSGVO
- bis zu 20 Millionen Euro
- oder 4 Prozent des weltweiten Jahresumsatzes betragen.
Jeder Fehler kann für CloudSol finanziellen Schaden anrichten und das Vertrauen der Kunden zerstören.
Die grösste Gefahr liegt jedoch in den Algorithmen, die wertvolle Einblicke in die Datenverarbeitung bieten. Um diese Geschäftsgeheimnisse zu wahren, setzt Lukas auf technische Schutzmassnahmen:
- Verschlüsselung der Datenübertragung,
- Protokolle, die jeden Zugriff dokumentieren,
- Einschränkungen über sogenannte Smart Contracts, die den Zugriff kontrollieren und automatisiert beenden, sobald ein Verstoss droht.
7. Bereitstellung von Daten für öffentliche Stellen – Im Notfall verpflichtet
Noch bevor die Migration abgeschlossen war, meldete sich eine deutsche Behörde. Ein Cyberangriff hatte mehrere Handelsplattformen lahmgelegt, und es wurden anonymisierte Daten zur Untersuchung benötigt. Der Data Act verpflichtet CloudSol, in solchen Krisensituationen relevante Daten bereitzustellen. Kostenlos und ohne Verzögerung. Die Behörden dürfen die Daten jedoch nur für den spezifischen Zweck nutzen und müssen sie anschliessend löschen.
8. Cloud Switching – Keine Barrieren beim Anbieterwechsel
Die Migration selbst darf von CloudSol nicht blockiert werden. Der Kunde hat das Recht, den Anbieter frei zu wechseln.
- Die Daten müssen nahtlos übertragen werden,
- die Schnittstellen müssen kompatibel sein,
- über bekannte Risiken muss informiert werden,
- und spätestens ab 2027 darf CloudSol dafür keine Gebühren mehr verlangen.
Die Interoperabilität der Systeme wird damit zum neuen Standard. Ein herber Verlust der Marktkontrolle, aber ein klarer Fortschritt für den Wettbewerb.
9. Benennung eines Vertreters in der EU – Die neue Schnittstelle für die Behörden
Als Schweizer Unternehmen muss CloudSol einen EU-Vertreter benennen. Die Wahl fiel auf ein Büro in Berlin, das als offizieller Ansprechpartner für die Einhaltung des Data Acts fungiert. Der Vertreter ist für alle regulatorischen Anfragen verantwortlich – von Beschwerden bis hin zu Anfragen der Behörden.
10. Sanktionen und Vollzug – Ein teures Spiel
Lukas ist sich der Konsequenzen bewusst, dass ein Verstoss gegen den Data Act teuer werden kann. Bussgelder können ähnlich wie bei der DSGVO
- bis zu 20 Millionen Euro
- oder 4 Prozent des weltweiten Jahresumsatzes betragen.
Jeder Fehler kann für CloudSol finanziellen Schaden anrichten und das Vertrauen der Kunden zerstören.
Der neue Standard
Als die Migration abgeschlossen war, atmete Lukas tief durch. Der Kunde hatte seine Daten erhalten, der Drittanbieter war vertraglich gebunden und die Behörden hatten alle notwendigen Daten für ihre Untersuchung erhalten, ohne die Geschäftsgeheimnisse von CloudSol zu gefährden. Was wie eine Routine begonnen hatte, war zur ersten Bewährungsprobe unter den neuen Regeln geworden. Der Data Act hatte den Spiess umgedreht – nicht der Anbieter kontrolliert die Daten, sondern der Nutzer.
Über CloudSol
CloudSol ist ein fiktives Schweizer Unternehmen, das sich auf cloudbasierte Datenmanagementlösungen spezialisiert hat. Es bietet vor allem für KMU in der EU und der Schweiz spezialisierte Dienste an. Die Hauptdienstleistungen umfassen Software as a Service (SaaS), Data Analytics Services, Cloud-Switching-Support, Dateninteroperabilität sowie Datensicherheit und Compliance.
CloudSol ist ein fiktives Schweizer Unternehmen, das sich auf cloudbasierte Datenmanagementlösungen spezialisiert hat. Es bietet vor allem für KMU in der EU und der Schweiz spezialisierte Dienste an. Die Hauptdienstleistungen umfassen Software as a Service (SaaS), Data Analytics Services, Cloud-Switching-Support, Dateninteroperabilität sowie Datensicherheit und Compliance.
Artikel kommentieren
