Das Wichtigste in Kürze
- Der EU Data Act wird ab dem 12. September 2026 vollständig anwendbar und schafft neue Datenzugangs- und Portabilitätsrechte für Nutzer von SaaS- und IoT-Produkten.
- SaaS- und IoT-Anbieter müssen Produkt- und Dienstleistungsdaten über eine sichere, gut dokumentierte API bereitstellen, die einen leichten, direkten und maschinenlesbaren Zugang ermöglicht.
- Bestehende AGB und Verträge müssen dringend angepasst werden, um Regelungen zu Datenzugang, Haftung, FRAND-Vergütung und dem Umgang mit Geschäftsgeheimnissen aufzunehmen.
- Geschäftsgeheimnisse sind geschützt, erfordern jedoch proaktive Schutzmaßnahmen wie NDAs; ein pauschales Verweigerungsrecht ist nicht gegeben.
- Eine Vergütung für den Datenzugang durch Dritte muss fair, angemessen und nichtdiskriminierend sein (FRAND-Prinzipien), basierend auf einem transparenten Kostenmodell.
EU Data Act ab September 2026: Wie SaaS- und IoT-Anbieter Datenzugangsansprüche technisch und vertraglich abbilden
Das Wichtigste in Kürze
- Anwendbarkeit: Der EU Data Act (Verordnung (EU) 2023/2854) ist ab dem 12. September 2026 vollständig anwendbar. Er begründet weitreichende Datenzugangs- und Portabilitätsrechte für Nutzer.
- Kernpflicht: SaaS- und IoT-Anbieter müssen Nutzern (B2B und B2C) auf Anfrage die durch die Nutzung des Dienstes oder Produkts erzeugten Daten zur Verfügung stellen. Dies sollte idealerweise direkt, kontinuierlich und in Echtzeit erfolgen.
- Technische Umsetzung: Eine gut dokumentierte, sichere API ist der De-facto-Standard, um die Anforderungen an einen „leichten“ und „direkten“ Datenzugang (Art. 4 Data Act) zu erfüllen.
- Vertragsanpassung: Ihre Allgemeinen Geschäftsbedingungen (AGB) und Verträge benötigen dringend ein Update. Sie müssen Regelungen zu Datenzugang, Haftung, Vergütung nach FRAND-Prinzipien und zum Umgang mit Geschäftsgeheimnissen aufnehmen.
Der Sommer 2026 markiert für viele Technologieunternehmen eine entscheidende Zäsur. Mit dem 12. September 2026 wird die EU-Datenverordnung, besser bekannt als Data Act, vollständig anwendbar. Anders als die DSGVO, die primär den Schutz personenbezogener Daten regelt, zielt der Data Act auf die wirtschaftliche Verwertung von Daten ab.
Er schafft einen fundamentalen Wandel, indem er Nutzern – sowohl Verbrauchern als auch Unternehmen – einen Rechtsanspruch auf Zugang zu den Daten gibt, die durch ihre Nutzung von vernetzten Produkten und Diensten entstehen. Für Anbieter von Software-as-a-Service (SaaS) und Internet-of-Things (IoT)-Lösungen bedeutet dies eine tiefgreifende Veränderung ihrer Geschäftsmodelle und technischen Architekturen. Die Zeit, sich mit der praktischen Umsetzung zu befassen, ist jetzt.
Dieser Artikel beleuchtet aus meiner anwaltlichen Praxis die zentralen Herausforderungen und Lösungsansätze bei der technischen und vertraglichen Abbildung der neuen Datenzugangsansprüche.
Der Datenzugangsanspruch nach Art. 4 Data Act: Was genau müssen Sie bereitstellen?
Das Herzstück des Data Act ist der in Artikel 4 der Verordnung (EU) 2023/2854 verankerte Anspruch des Nutzers auf Datenzugang. Als „Nutzer“ gilt jede natürliche oder juristische Person, die ein vernetztes Produkt besitzt oder einen entsprechenden Dienst in Anspruch nimmt. Dies umfasst Ihre B2C-Kunden ebenso wie Ihre B2B-Geschäftspartner.
Der Anspruch bezieht sich auf „Produkt- und Dienstleistungsdaten“, die bei der Nutzung erzeugt werden. Gemäß der Definition in Art. 2 Nr. 1 handelt es sich dabei um Daten, die „absichtlich vom Nutzer erzeugt“ oder „als Nebenprodukt seiner Handlungen“ generiert werden. In der Praxis ist diese Abgrenzung entscheidend.
Für einen IoT-Anbieter bedeutet dies beispielsweise, dass er die von den Sensoren eines Geräts erfassten Rohdaten (Temperatur, Position, Betriebszustand) sowie die daraus resultierenden Zeitreihen zugänglich machen muss. Bei einem SaaS-Anbieter fallen darunter etwa Nutzungsprotokolle, vom Nutzer eingegebene Konfigurationen oder durch Interaktion erstellte Inhalte.
Nicht umfasst sind hingegen Daten, die vom Anbieter selbst durch aufwendige Analyseprozesse abgeleitet oder angereichert wurden, sofern diese nicht unmittelbar zur Bereitstellung des Dienstes für den Nutzer notwendig sind. Die Abgrenzung ist im Einzelfall schwierig und wird sicherlich Gegenstand gerichtlicher Auseinandersetzungen werden. Als Faustregel gilt: Daten, die ohne die Interaktion des Nutzers nicht existieren würden, sind in der Regel herauszugeben.
Zusätzlich müssen Sie gemäß Art. 4 Abs. 4 auch die zur Interpretation und Nutzung der Daten notwendigen Metadaten bereitstellen. Hierzu gehören etwa Informationen zur Datenstruktur, zu Einheiten oder zum Erfassungszeitpunkt.
Technische Umsetzung: Die API als „Data Portability as a Service“
- leicht
- sicher
- unentgeltlich
- in einem umfassenden, gängigen und maschinenlesbaren Format
- wo relevant und technisch machbar, direkt zugänglich
Ein reiner CSV-Export auf Anfrage wird in vielen Fällen, insbesondere im IoT-Umfeld, nicht ausreichen, um den gesetzlichen Anforderungen gerecht zu werden.
Konzeption einer Data-Act-konformen API

- Authentifizierung und Autorisierung: Sicherstellen, dass nur der berechtigte Nutzer (oder ein autorisierter Dritter) zugreifen kann (z.B. mit OAuth 2.0).
- Granularität und Filterung: Gezielte Abfragen ermöglichen (z.B. für bestimmte Zeiträume oder Geräte).
- Datenformat und Dokumentation: Daten in etablierten Formaten (JSON, XML) bereitstellen und präzise, öffentlich zugängliche API-Dokumentation anbieten.
- Sicherheit und Stabilität: Die API gegen Missbrauch schützen und stabil sowie performant betreiben.
- Authentifizierung und Autorisierung: Sie müssen sicherstellen, dass nur der berechtigte Nutzer (oder ein von ihm autorisierter Dritter) auf die Daten zugreifen kann. Standards wie OAuth 2.0 sind hierfür prädestiniert.
- Granularität und Filterung: Eine gute API sollte es dem Nutzer ermöglichen, gezielte Abfragen zu stellen. Beispiele sind Daten für einen bestimmten Zeitraum oder von einem spezifischen Gerät. Ein „Alles-oder-Nichts“-Ansatz ist weder nutzerfreundlich noch ressourcenschonend.
- Datenformat und Dokumentation: Die Daten sollten in etablierten Formaten wie JSON oder XML bereitgestellt werden. Eine präzise und öffentlich zugängliche API-Dokumentation ist unerlässlich, damit Nutzer und Dritte die Schnittstelle effektiv verwenden können. Dies ist nicht nur eine technische Notwendigkeit, sondern auch ein Gebot der Transparenz.
- Sicherheit und Stabilität: Die API selbst wird zu einem kritischen Teil Ihrer Infrastruktur. Sie muss gegen Missbrauch geschützt und auf eine stabile, performante Weise betrieben werden.
Die Entwicklung einer solchen API ist mehr als eine reine Compliance-Übung. Sie kann als „Data Portability as a Service“ ein neues Feature Ihrer Plattform darstellen und die Kundenbindung durch Transparenz und Interoperabilität sogar stärken. Eine sorgfältige Planung und Gestaltung ist dabei essenziell.
Daher empfehle ich oft, die rechtlichen Anforderungen frühzeitig in den agilen Entwicklungsprozess zu integrieren. Mehr zu den vertraglichen Aspekten von Schnittstellen finden Sie auch in unserem Beitrag über die rechtssichere Gestaltung von API-Verträgen.
Vertragliche Abbildung: Unverzichtbare Klauseln für Ihre AGB
Parallel zur technischen Implementierung müssen Sie Ihre Allgemeinen Geschäftsbedingungen (AGB) und individuellen Kundenverträge an die neuen Gegebenheiten anpassen. Bestehende Verträge sind mit an Sicherheit grenzender Wahrscheinlichkeit nicht konform mit dem Data Act. Ihre AGB und Standardverträge benötigen eine Anpassung, um die neuen Gegebenheiten abzubilden.
Datenzugangsanspruch und Beauftragung Dritter
Zunächst sollten Sie den Datenzugangsanspruch des Nutzers nach Art. 4 und das Recht, Dritte mit dem Datenabruf zu beauftragen (Art. 5), explizit in Ihren AGB abbilden. Beschreiben Sie transparent, welche Datenkategorien umfasst sind und wie der Nutzer seinen Anspruch technisch geltend machen kann. Dies kann beispielsweise über das Kundenportal und die dort dokumentierte API geschehen.
Besondere Aufmerksamkeit erfordert die Regelung zur Beauftragung von Dritten. Der Nutzer kann ein anderes Unternehmen anweisen, die Daten für ihn abzurufen. Ihr Vertrag sollte den Prozess der Autorisierung dieses Dritten klar definieren.
Wichtig ist auch die Haftungsverteilung: Der Data Act sieht in Art. 5 Abs. 3 Pflichten für den Dritten vor. Dazu gehört, Daten nur für den vereinbarten Zweck zu nutzen und nach Erledigung zu löschen. Ihre AGB sollten klarstellen, dass Sie für die Handlungen des vom Nutzer autorisierten Dritten nicht haften. Sie stellen lediglich die technische Schnittstelle bereit.
Vergütung nach FRAND-Prinzipien in AGB
Ein weiterer entscheidender Punkt ist die Vergütung. Während der Zugang für den Nutzer selbst unentgeltlich sein muss (Art. 4 Abs. 1), dürfen Sie von Dritten, die im Auftrag des Nutzers handeln, eine Vergütung verlangen (Art. 9). Diese Vergütung muss jedoch fair, angemessen und nichtdiskriminierend sein (FRAND-Prinzipien). Darauf gehe ich im nächsten Abschnitt detaillierter ein. Ihre AGB sollten eine Grundlage für eine solche Vergütung schaffen.
Die Ausnahme „Geschäftsgeheimnis“: Ein schmaler Grat
Viele Anbieter hoffen, die Herausgabepflicht durch den Verweis auf Geschäftsgeheimnisse umgehen zu können. Hier mahne ich zur Vorsicht. Der Data Act schützt zwar in Art. 4 Abs. 3 und Art. 5 Abs. 8 explizit Geschäftsgeheimnisse, etabliert aber kein pauschales Verweigerungsrecht. Der Grundsatz lautet: Daten werden geteilt, und Geschäftsgeheimnisse werden dabei geschützt.
Konkret bedeutet das: Identifizieren Sie Daten, die als Geschäftsgeheimnis im Sinne des deutschen Geschäftsgeheimnisgesetzes (GeschGehG) zu qualifizieren sind. Dann müssen Sie vor der Herausgabe „alle erforderlichen Maßnahmen“ treffen, um deren Vertraulichkeit zu wahren. Die einfachste Maßnahme ist der Abschluss einer Vertraulichkeitsvereinbarung (NDA) mit dem Nutzer bzw. dem Dritten, der die Daten empfängt. Der Data Act sieht sogar vor, dass der Nutzer diese Maßnahmen mittragen muss. Sie können also die Herausgabe von der Unterzeichnung eines NDA abhängig machen.
Weitere Maßnahmen können technischer Natur sein, wie die teilweise Schwärzung, Aggregation oder Anonymisierung von Daten. Dies ist zulässig, sofern der wesentliche Informationsgehalt für den Nutzer erhalten bleibt.
Ein Recht zur vollständigen Verweigerung der Herausgabe besteht nur in „Ausnahmefällen“. Dies ist der Fall, wenn Sie nachweisen können, dass Ihnen trotz aller Schutzmaßnahmen mit hoher Wahrscheinlichkeit ein „schwerer und irreparabler wirtschaftlicher Schaden“ droht (Art. 4 Abs. 3 lit. b). Die Hürden hierfür sind extrem hoch. Ein pauschaler Verweis darauf, dass Ihr gesamtes Datenmodell ein Geschäftsgeheimnis sei, wird vor keinem Gericht Bestand haben.
Sie müssen konkret darlegen, welches Geheimnis durch welche Daten offengelegt würde und warum der Schaden irreparabel ist. Die Beweislast liegt vollständig bei Ihnen. Meine Empfehlung ist daher, eine proaktive Strategie zu entwickeln: Identifizieren Sie schützenswerte Geheimnisse und definieren Sie Standardprozesse (inklusive Muster-NDAs), um diese im Falle eines Datenzugangsersuchens zu schützen, anstatt auf eine riskante Verweigerung zu setzen.
Preisgestaltung nach FRAND-Prinzipien: Was ist „fair und angemessen“?
Wenn Sie Daten an Dritte (im Auftrag des Nutzers) oder an andere Dateninhaber nach Art. 8 weitergeben, dürfen Sie eine Vergütung verlangen. Diese muss jedoch den FRAND-Kriterien (fair, reasonable, and non-discriminatory) genügen, die in Art. 9 detailliert werden.
Gegenüber kleinen und mittleren Unternehmen (KMU) als Datenempfänger dürfen Sie sogar nur die direkt zurechenbaren Kosten für die Bereitstellung in Rechnung stellen, ohne Gewinnaufschlag (Art. 9 Abs. 5).
- Umlagefähige Kosten:
- Technische Bereitstellungskosten (z.B. anteilige Kosten für Betrieb und Wartung der API, verursachter Traffic)
- Kosten für die Umsetzung von Schutzmaßnahmen für Geschäftsgeheimnisse
Umlagefähige Kosten Nicht umlagefähige Kosten Technische Bereitstellungskosten (z.B. anteilige Kosten für Betrieb und Wartung der API, verursachter Traffic) Allgemeine Betriebskosten Kosten für die Umsetzung von Schutzmaßnahmen für Geschäftsgeheimnisse Gewinnaufschläge (gegenüber KMU) - Nicht umlagefähige Kosten:
- Allgemeine Forschungs- und Entwicklungskosten
- Vertriebs- und Marketingausgaben
Der „angemessene“ Aufschlag („reasonable margin“) über die Kosten hinaus darf nicht exzessiv sein und muss sich am Markt orientieren. Das Kriterium der „Nichtdiskriminierung“ verbietet es Ihnen, verschiedene Empfänger für die gleiche Leistung willkürlich unterschiedlich zu bepreisen. Sie dürfen also beispielsweise einem Wettbewerber nicht mehr berechnen als einem Partnerunternehmen, wenn die abgerufene Datenmenge und -art identisch sind. Differenzierungen sind nur aufgrund objektiver Kriterien wie Datenvolumen, Abruffrequenz oder Service-Level zulässig.
Die Entwicklung eines solchen Preismodells erfordert eine genaue Kenntnis der eigenen Kostenstruktur und eine sorgfältige juristische Prüfung, um den Vorwurf missbräuchlicher Preisgestaltung zu vermeiden. Mehr zur Anwendung der FRAND-Prinzipien finden Sie in unserer Rechtsprechung. Dies ist ein zentraler Baustein für eine umfassende IT-rechtliche Beratung im Kontext des Data Act.
Handlungsempfehlung für SaaS- und IoT-Anbieter
Der Countdown läuft. Der 12. September 2026 scheint noch fern, doch die notwendigen technischen und organisatorischen Anpassungen erfordern einen erheblichen Vorlauf. Ich rate Ihnen dringend, die verbleibende Zeit zu nutzen, um die folgenden Schritte einzuleiten:
- Führen Sie ein Daten-Audit durch, um zu identifizieren, welche der von Ihnen verarbeiteten Daten unter den Data Act fallen.
- Beginnen Sie mit der Konzeption und technischen Planung einer konformen API-Lösung.
- Überarbeiten Sie Ihre AGB und Standardverträge grundlegend, um die neuen Pflichten und Rechte abzubilden.
- Entwickeln Sie eine klare Strategie zum Umgang mit Daten, die Geschäftsgeheimnisse enthalten.
- Erarbeiten Sie ein transparentes und FRAND-konformes Preismodell für die Datenweitergabe an Dritte.
Fazit
Der Data Act ist eine komplexe Verordnung mit weitreichenden technischen und juristischen Implikationen. Eine frühzeitige und sorgfältige Vorbereitung ist entscheidend, um Risiken zu minimieren und die neuen Regelungen als Chance für mehr Transparenz und Interoperabilität zu nutzen. Gerne unterstütze ich Sie bei der Analyse Ihrer Pflichten und der Erstellung rechtssicherer Verträge. Vereinbaren Sie einfach einen Termin für ein Erstgespräch.