Digital Business & Future 09.04.2026

Data-Act-Durchführungsgesetz: Was deutsche IoT-Hersteller bis September 2026 umsetzen müssen

7 Min. Lesezeit

Der Bundestag hat am 26. März das Data-Act-Durchführungsgesetz verabschiedet und damit den EU Data Act für Deutschland scharfgestellt. Deutsche IoT-Hersteller haben jetzt fünf Monate Zeit, ihre Produkte auf Access by Design umzustellen. Die Bundesnetzagentur wird Enforcement-Behörde, der Bußgeldrahmen reicht bis 500.000 Euro. Für Mittelständler unter 50 Mitarbeitern gibt es eine wichtige Ausnahme – für alle anderen nicht.

Das Wichtigste in Kürze

Durchführungsgesetz verabschiedet: Der Bundestag hat das Data-Act-Durchführungsgesetz am 26. März 2026 beschlossen und damit EU-Verordnung 2023/2854 in deutsches Recht umgesetzt (Deutscher Bundestag, KW13).
Bundesnetzagentur als Enforcer: Die BNetzA ist zentrale Kontaktstelle für Umsetzung, Aufsicht und Durchsetzung. Bei Verstößen drohen Bußgelder bis zu 500.000 Euro pro Fall.
Deadline 12. September 2026: Neue vernetzte Produkte müssen ab diesem Stichtag Access by Design erfüllen – Nutzer bekommen direkten Zugriff auf ihre Produktdaten ohne Umweg über den Hersteller (EU Data Act Art. 3).
Cloud-Switching seit 12. September 2025: Die Pflicht, Kunden den Anbieterwechsel ohne Pauschal-Egress-Fees zu ermöglichen, gilt schon. Ab 12. Januar 2027 dürfen nur noch nachgewiesene Direktkosten berechnet werden.
KMU-Ausnahme: Hersteller unter 50 Beschäftigten und 10 Millionen Euro Jahresumsatz sind von den Zugriffspflichten befreit. Wer darüber wächst, fällt zeitverzögert in die Regelung.

Was das Durchführungsgesetz seit dem 26. März regelt

Der EU Data Act ist seit 12. September 2025 europaweit anwendbar. Die Verordnung regelt, wer auf die Daten zugreifen darf, die durch vernetzte Produkte und zugehörige Dienste entstehen – vom Melkroboter im Allgäu über den Aufzug im Bürogebäude bis zur SaaS-Plattform für Fleet Management. Was den europäischen Rahmen bisher nicht abdeckte, waren die nationalen Durchführungsbestimmungen: welche Behörde zuständig ist, wie Verstöße geahndet werden, wer den Vollzug finanziert.

Genau das hat der Bundestag am 26. März 2026 in der 13. Kalenderwoche erledigt. Das Data-Act-Durchführungsgesetz benennt die Bundesnetzagentur als zuständige Aufsichtsbehörde und schafft die Rechtsgrundlage für Untersuchungen, Auskunftsverlangen, einstweilige Anordnungen und Zwangsgelder. Gleichzeitig klärt das Gesetz den Streitpunkt zwischen Bund und Ländern: Die BNetzA beaufsichtigt Datenanfragen an Bundesbehörden, während die Länder für ihre eigenen Einrichtungen verantwortlich bleiben – ein Zugeständnis an den Föderalismus, das die Debatte im parlamentarischen Verfahren geprägt hat.

Kritisch wurde in der Anhörung die Zahl der unbestimmten Rechtsbegriffe gesehen. Das Gesetz arbeitet mit Formulierungen wie angemessene Bedingungen, unverzüglich und ohne ungerechtfertigte Verzögerung, die erst durch Vollzugspraxis und Leitlinien der BNetzA mit Leben gefüllt werden müssen. Für Unternehmen bedeutet das Rechtsunsicherheit in den ersten Monaten – aber auch Spielraum, weil die Behörde zunächst über Leitlinien statt über Sanktionen steuern will.

Definition

Access by Design bezeichnet die technische Verpflichtung, vernetzte Produkte so zu bauen, dass Nutzer oder von ihnen beauftragte Dritte ohne zusätzlichen Entwicklungsaufwand auf die erzeugten Daten zugreifen können. Der Zugriff muss einfach, sicher, strukturiert und in maschinenlesbarem Format erfolgen – typischerweise über eine dokumentierte API.

Wer betroffen ist – und wer durch die KMU-Ausnahme fällt

Der Data Act adressiert zwei Gruppen von Unternehmen gleichzeitig: Hersteller vernetzter Produkte und Anbieter zugehöriger Dienste auf der einen Seite, Cloud-Service-Anbieter auf der anderen. Für den DACH-Mittelstand heißt das: Praktisch jeder Maschinenbauer, der seine Anlagen mit Telemetrie ausstattet, ist Produkthersteller im Sinne der Verordnung. Jeder SaaS-Anbieter, der Kundendaten verarbeitet, ist Data-Processing-Service-Anbieter.

Entscheidend ist der Anwendungsbereich: Die Verordnung gilt für Produkte, die nach dem 12. September 2026 erstmals in Verkehr gebracht werden. Bereits verkaufte Maschinen fallen nicht unter die Access-by-Design-Pflicht – ein wichtiges Detail, weil es den Nachrüstungs-Zwang entschärft. Hersteller müssen aber bestehende Produktlinien spätestens bis zur nächsten Hardware-Generation umstellen – mit genügend Vorlauf für Zertifizierungen, Software-Updates und Vertragsanpassungen.

Die wichtigste Entlastung für den Mittelstand ist die KMU-Ausnahme aus Artikel 7 der EU-Verordnung. Wer weniger als 50 Beschäftigte hat und einen Jahresumsatz von unter 10 Millionen Euro erzielt, ist von den Zugriffspflichten befreit. Das sind in Deutschland über 90 Prozent aller mittelständischen Maschinenbauer nach IHK-Statistik. Wichtig ist aber die zeitverzögerte Anwendung: Wer in einem Geschäftsjahr über die Schwellenwerte wächst, muss die Pflichten in den folgenden Jahren erfüllen – ein Planungsrisiko für Unternehmen in der Skalierungsphase.

Keine Ausnahme gibt es hingegen für die Cloud-Switching-Regeln. Diese gelten für alle Data-Processing-Service-Anbieter unabhängig von der Unternehmensgröße. Ein mittelständisches SaaS-Unternehmen mit 30 Mitarbeitern muss also seinen Kunden den Anbieterwechsel ohne Pauschal-Egress-Fees ermöglichen – auch wenn es von den IoT-Produkt-Pflichten befreit ist. Die Unterscheidung ist entscheidend für die Gap-Analyse in der eigenen Produktlinie.

Die drei Pflichten-Blöcke: Access, Switching, Behördenzugriff

Der Data Act bündelt drei unterschiedliche Pflichtenkomplexe, die organisatorisch getrennt zu behandeln sind. Das erste Paket betrifft den Datenzugriff durch Nutzer. Hersteller vernetzter Produkte müssen sicherstellen, dass der Käufer einer Maschine oder der Nutzer einer Software direkten Zugriff auf die erzeugten Produkt- und Servicedaten bekommt. Der Zugriff muss schnell, sicher und in der Regel ohne Zusatzkosten erfolgen. Für Produkte, die vor dem 12. September 2026 in Verkehr kommen, gelten diese Access-by-Design-Pflichten noch nicht – aber Hersteller sollten die Übergangsfrist nutzen, um bestehende Produkte zu retrofitten und Software-Update-Pfade vorzubereiten.

Das zweite Paket ist das Cloud-Switching. Seit dem 12. September 2025 dürfen Anbieter von Data-Processing-Services – also klassische Public-Cloud-Provider, aber auch branchenspezifische SaaS-Anbieter – ihren Kunden keine künstlichen Wechselhürden mehr in den Weg legen. Verträge müssen Laufzeiten, Kündigungsfristen und Egress-Regelungen klar ausweisen. Ab 12. Januar 2027 dürfen Anbieter keine pauschalen Egress-Gebühren mehr erheben – erlaubt sind dann nur noch Kosten, die sich nachvollziehbar aus der tatsächlichen Datenmigration ergeben. Für Hyperscaler ist das ein harter Einschnitt in etablierte Preismodelle, für Kunden ein signifikanter Hebel bei Vertragsverhandlungen.

Das dritte Paket regelt den Datenzugriff durch öffentliche Stellen in Ausnahmesituationen. Behörden dürfen in klar definierten Notlagen – Naturkatastrophen, Pandemien, Cyber-Großereignisse – direkt auf Unternehmensdaten zugreifen, wenn diese zur Krisenbewältigung benötigt werden. Die Voraussetzungen sind eng gefasst, aber Unternehmen müssen technisch vorbereitet sein, solche Anfragen überhaupt beantworten zu können. Das Durchführungsgesetz regelt hier, welche Behörde in Deutschland Anfragen stellen darf und welche Rolle die Bundesnetzagentur als Kontrollinstanz einnimmt.

Zeitplan: Was wann gelten muss

Stichtag	Pflicht	Wer betroffen
12. September 2025	Cloud-Switching, Vertragsklauseln, Behördenzugriff	Alle Data-Processing-Service-Anbieter
26. März 2026	DE-Durchführungsgesetz beschlossen, BNetzA als Enforcer	Alle in Deutschland tätigen Unternehmen
12. September 2026	Access by Design für neue vernetzte Produkte	Hersteller von IoT-Produkten (außer KMU)
12. Januar 2027	Keine pauschalen Egress-Gebühren mehr	Alle Cloud-Service-Anbieter
2028	EU-Kommission bewertet KMU-Wirkung	KMU-Ausnahme steht auf dem Prüfstand

Quellen: EU-Verordnung 2023/2854, Deutscher Bundestag KW13/2026, BMWK

Die entscheidende Zahl im Kalender ist der 12. September 2026. An diesem Datum kippt die Access-by-Design-Pflicht für alle Produkte, die danach erstmals in Verkehr gebracht werden. Hersteller, die mit neuen Produktgenerationen im Herbst 2026 in den Markt gehen wollen, müssen jetzt die Architektur ihrer Datenschnittstellen fertig haben, API-Dokumentation schreiben und Zugriffskonzepte durch die Rechtsabteilung laufen lassen. Wer erst im August anfängt, ist zu spät.

Die Rolle der Bundesnetzagentur

Die Bundesnetzagentur übernimmt mit dem Durchführungsgesetz eine neue Regulierungsaufgabe in einem Feld, das bisher zwischen Datenschutz, Wettbewerbsrecht und Digitalpolitik zerfasert war. Sie wird zur zentralen Kontaktstelle für Beschwerden, Auskünfte und Auslegungsfragen. Die Behörde darf Untersuchungen einleiten, Unternehmen zur Auskunft verpflichten, einstweilige Anordnungen erlassen und bei Bedarf Zwangsgelder verhängen.

Bußgeld-Maximum (Deutschland)

500.000 €

pro Verstoß gegen das Data-Act-Durchführungsgesetz, verhängt durch die Bundesnetzagentur

Quelle: Deutscher Bundestag, Plenarsitzung KW13/2026

500.000 Euro pro Verstoß ist im internationalen Vergleich moderat – die DSGVO kennt bis zu 20 Millionen Euro, der Digital Markets Act bis zu zehn Prozent des Weltumsatzes. Aber für einen mittelständischen Maschinenbauer mit 25 Millionen Euro Jahresumsatz ist ein sechsstelliges Bußgeld eine spürbare Bremse, vor allem wenn mehrere Verstöße parallel festgestellt werden. Wichtiger als die absolute Höhe ist die Signalwirkung: Die BNetzA ist eine handlungsfähige Behörde mit 3.200 Mitarbeitern und Erfahrung in Enforcement – von der Telekommunikationsregulierung über die Energiemarktaufsicht bis zum Postwesen. Sie wird den Data Act nicht folgenlos auslaufen lassen.

Was Mittelständler jetzt erwarten können, sind erste Leitlinien und Konsultationen der Bundesnetzagentur – typischerweise im Frühsommer 2026. Diese Leitlinien werden die unbestimmten Rechtsbegriffe konkretisieren, Mustertexte für Cloud-Verträge liefern und Hinweise zur Abgrenzung zwischen KMU-Ausnahme und regulären Pflichten geben. Wer Zeit hat, die Konsultationen aktiv zu begleiten, kann die Auslegung in seine Richtung drücken – Verbände wie der VDMA und Bitkom bereiten entsprechende Positionspapiere vor.

Sechs-Punkte-Plan für den Mittelstand

Für mittelständische Unternehmen empfiehlt sich ein strukturiertes Vorgehen entlang sechs klarer Schritte, die in den nächsten fünf Monaten umsetzbar sind:

Scope klären: Welche Produkte und Services des eigenen Unternehmens fallen unter Data Act? Wer ist Hersteller, wer ist Cloud-Anbieter, wer beides? Ohne saubere Kategorisierung wird jede weitere Maßnahme Stückwerk.
KMU-Ausnahme prüfen: Mitarbeiterzahl und Umsatz des letzten Geschäftsjahres abgleichen. Auch bei Holding-Strukturen gilt die Konzernbetrachtung – Einzelgesellschaften können die Schwelle reißen, wenn die Muttergesellschaft drüber liegt.
Datenarchitektur inventarisieren: Welche Daten erzeugen die vernetzten Produkte überhaupt? Wo werden sie gespeichert, wer hat Zugriff, welche Schnittstellen existieren bereits? Das Inventar ist die Grundlage für die Access-by-Design-Umsetzung.
API-Roadmap aufsetzen: Für neue Produkte ab September 2026 muss eine dokumentierte Zugriffsschnittstelle existieren – typischerweise REST oder MQTT mit OAuth-Authentifizierung. Bestehende Produkte brauchen eine Retrofit-Entscheidung: Update oder ohne Access-by-Design ausrollen.
Cloud-Verträge überarbeiten: Laufende Data-Processing-Service-Verträge auf Switching-Klauseln prüfen. Wenn Pauschal-Egress-Fees enthalten sind, bis 12. Januar 2027 anpassen. Neue Verträge sollten Data-Act-konform entworfen sein – Musterklauseln folgen voraussichtlich im Herbst 2026.
Ansprechpartner benennen: Das Durchführungsgesetz verlangt eine interne Anlaufstelle für Nutzer-Anfragen und Behörden-Auskünfte. Funktional bietet sich der Datenschutzbeauftragte an, fachlich müssen Produktmanagement und IT gekoppelt sein.

Wer diese sechs Schritte bis Ende Juni abgearbeitet hat, geht entspannt in den September. Wer erst im August aufwacht, wird auf Leitlinien-Hinweise der BNetzA und Überbrückungs-Workshops der Verbände angewiesen sein – möglich, aber unnötig stressig.

Einordnung: Data Act im Regulatorik-Mix 2026

Der Data Act ist Teil eines ganzen Bündels an EU-Regulierung, die den Mittelstand 2026 beschäftigt. Die NIS2-Umsetzung adressiert die Cybersicherheit kritischer Sektoren, der EU AI Act regelt den Einsatz von KI-Systemen mit Fokus auf Hochrisiko-Anwendungen, die E-Rechnungspflicht verändert die Buchhaltung. Der Digital Euro wirft zusätzliche Fragen für Zahlungsprozesse auf. Der Data Act reiht sich hier als vierter großer Baustein ein und überschneidet sich mit allen anderen an unterschiedlichen Stellen: mit NIS2 bei den Melde- und Schutzpflichten für vernetzte Systeme, mit dem AI Act beim Umgang mit Trainingsdaten, mit der E-Rechnung bei den Datenformaten.

Für den Mittelstand heißt das: Die Compliance-Projekte lassen sich nicht isoliert voneinander denken. Wer im Rahmen einer Managed-Services-Entscheidung ohnehin seine IT-Landschaft auf externe Anbieter umstellt, sollte die Data-Act-Anforderungen direkt in die Anbieterauswahl aufnehmen. Wer ein neues ERP einführt, sollte die API-Schnittstellen so designen, dass sie die Access-by-Design-Pflicht gleich miterfüllen. Der Trick ist, die Regulierungs-Projekte zu bündeln statt parallel laufen zu lassen – das spart Kosten und entlastet die ohnehin knappen IT-Ressourcen.

Fazit

Das Data-Act-Durchführungsgesetz schließt eine wichtige Lücke in der deutschen Digitalregulierung. Die Bundesnetzagentur wird zur Kontrollinstanz. Der Bußgeldrahmen ist handhabbar aber ernstzunehmen. Die KMU-Ausnahme entlastet mindestens 90 Prozent der mittelständischen IoT-Hersteller von den Zugriffspflichten. Was bleibt, ist die Cloud-Switching-Regelung – und die trifft jeden Data-Processing-Anbieter, auch unter der Umsatzschwelle.

Die Deadline 12. September 2026 wirkt weit weg, ist es aber nicht. Architektur-Entscheidungen für API-Schnittstellen, Software-Updates, Vertrags-Templates und interne Zuständigkeiten brauchen Vorlauf. Wer heute anfängt, hat fünf Monate – wer im August startet, hat vier Wochen und keine Reserven für Überraschungen. Der richtige Zeitpunkt für die Scope-Analyse ist jetzt, nicht wenn die ersten BNetzA-Leitlinien erscheinen.

Weitere Analysen der Redaktion

NIS2-Umsetzung: Was der Mittelstand jetzt noch erledigen muss

EU AI Act: Noch 4 Monate bis zur Hauptdeadline

E-Rechnung: 9 Monate bis zur Sendepflicht

Häufige Fragen

Gilt die KMU-Ausnahme auch für Konzerntöchter mittelständischer Unternehmen?

Die Beurteilung erfolgt in der Regel auf Konzernebene. Eine eigenständige GmbH mit 30 Mitarbeitern, die Tochter einer Holding mit 300 Beschäftigten ist, kann die KMU-Ausnahme nicht in Anspruch nehmen. Maßgeblich ist die gesamte wirtschaftliche Einheit nach den EU-Definitionen für kleine und mittlere Unternehmen (Empfehlung 2003/361/EG). Unternehmen in Gruppenstrukturen sollten ihre Gesellschafterverhältnisse frühzeitig prüfen und die Konzernschwellen einrechnen.

Was kostet die Umsetzung für einen typischen Maschinenbauer mit 200 Mitarbeitern?

Die Bandbreite ist groß. Wer bereits eine moderne OT-IT-Integration, dokumentierte Produktdaten und ein funktionierendes API-Management hat, kommt mit überschaubarem Aufwand für Rechtsberatung, Vertragsanpassungen und interne Prozesse zurecht. Wer seine Maschinendaten bisher nur über proprietäre Händler-Tools zugänglich macht, muss ein API-Gateway aufbauen, Authentifizierung implementieren und Dokumentation erstellen – das ist ein mehrmonatiges Projekt mit entsprechendem Budget. Eine belastbare Schätzung liefert nur die eigene Gap-Analyse, generische Zahlen sind irreführend.

Müssen wir die Access-by-Design-Pflicht auch für Maschinen nachrüsten, die wir 2024 verkauft haben?

Nein. Die Pflicht gilt nur für Produkte, die nach dem 12. September 2026 erstmals in Verkehr gebracht werden. Bereits verkaufte Maschinen fallen nicht unter die Retrofit-Pflicht. Allerdings sollten Hersteller bestehender Produktlinien prüfen, ob sie ihre Update-Infrastruktur nutzen können, um Access-by-Design nachträglich bereitzustellen – das ist freiwillig, kann aber als Vertrauenssignal an Kunden dienen und erleichtert spätere Produktgenerationen.

Wie verhält sich der Data Act zum bestehenden Datenschutzrecht nach DSGVO?

Beide Regelwerke gelten parallel und greifen an unterschiedlichen Stellen. Die DSGVO schützt personenbezogene Daten natürlicher Personen und gibt betroffenen Personen Zugriffsrechte. Der Data Act regelt den Zugriff auf Produkt- und Servicedaten unabhängig vom Personenbezug und richtet sich an Nutzer – also auch an Unternehmen als Käufer einer Maschine. Wenn die generierten Daten personenbezogen sind, etwa Fahrerdaten aus einem Fahrzeug, gelten DSGVO und Data Act gleichzeitig – und die DSGVO hat im Zweifel Vorrang. Die Bundesnetzagentur und die Datenschutzaufsichtsbehörden müssen hier zusammenarbeiten.

Was passiert, wenn ein Cloud-Anbieter die Egress-Regeln ab Januar 2027 nicht umsetzt?

Die Bundesnetzagentur kann auf Beschwerde von Kunden tätig werden. Pauschale Egress-Gebühren werden dann als unzulässig eingestuft, der Anbieter muss seine Preisliste anpassen. In der Praxis wird das zunächst als Beanstandung laufen mit einer Frist zur Korrektur, erst bei Verweigerung folgen Bußgelder bis zu 500.000 Euro. Für betroffene Kundenunternehmen bedeutet das: Beschwerdemöglichkeit bei der BNetzA nutzen und parallel Nachforderungen beim Anbieter geltend machen. Die Rechtsgrundlage ist erstmals in Deutschland durchsetzbar und wird in den kommenden Monaten von Gerichten präzisiert werden.

Wer überwacht die Umsetzung in den anderen EU-Ländern?

Jeder Mitgliedstaat benennt seine eigene zuständige Behörde. In Frankreich ist es die CNIL gemeinsam mit der ARCOM, in Österreich die RTR, in Italien die AGCOM. Die EU-Kommission koordiniert über einen eigenen Dateninnovationsrat, der einheitliche Leitlinien entwickeln soll. Für Unternehmen mit EU-weitem Geschäft heißt das: Die Grundregeln sind identisch, die Ansprechpartner pro Land unterschiedlich – eine zentrale Koordinationsstelle im Unternehmen ist empfehlenswert, gerade für die Abstimmung mit Tochtergesellschaften.

Quelle Titelbild: Pexels / Marco

MyBusinessFuture / Evernine Media GmbH

Benedikt Langer befasst sich als Redakteur für MyBusinessFuture vor allem mit zukunftsweisenden Business- und Tech-Themen – von Künstlicher Intelligenz über Cybersecurity bis hin zu Mobilität, Energie- und Verkehrsinfrastruktur sowie resilienten Industrie-Ökosystemen.

Davos: Nachhaltigkeit durch Digitalisierung

Das 50. Jubiläum des Weltwirtschaftsforum in Davos Ende Januar 2020 soll ganz im Zeichen von Nachhaltigkeit ... »

Engineering & Industry 23.09.2020

PwC-Studie zeigt: E-Autos sind immer noch teurer für Hersteller als Verbrenner

E-Autos sind neu, voller Technik und zukunftsweisend, jedoch immer noch sehr teuer. Das liegt unter ... »

Unsere Experten & Partner