Der Data Act ist bereits anwendbar. Für kleine und mittlere Unternehmen (KMU) im Bereich Internet of Things (IoT) wird jedoch vor allem der 12. September 2026 entscheidend. Ab diesem Zeitpunkt müssen neue vernetzte Produkte so gestaltet sein, dass Nutzer einfacher, sicherer und strukturierter auf die durch das Produkt erzeugten Daten zugreifen können.
Für mittelständische IoT-Hersteller bedeutet das: Der Data Act ist nicht nur ein juristisches Thema. Er betrifft Produktentwicklung, Datenarchitektur, Schnittstellen, Verträge und Kundenkommunikation. Die allgemeinen Pflichten des Data Act wurden bereits umfassend eingeordnet. Für KMU kommt es nun vor allem darauf an, die Vorgaben praktisch in Produkte und interne Prozesse zu übersetzen.
Warum KMU-IoT-Unternehmen jetzt handeln sollten
Viele IoT-Produkte erzeugen im laufenden Betrieb wertvolle Daten, etwa Maschinen-, Sensor-, Telemetrie-, Nutzungs- oder Zustandsdaten. Bisher lagen diese Daten häufig faktisch beim Hersteller oder bei der zugehörigen Plattform. Der Data Act soll Nutzern vernetzter Produkte einen besseren Zugang zu diesen Daten ermöglichen.
Für KMU ist das besonders anspruchsvoll, weil viele Systeme historisch gewachsen sind. Daten werden oft in proprietären Strukturen gespeichert, Schnittstellen sind nicht einheitlich dokumentiert oder Datenexporte laufen über individuelle Supportlösungen. Genau hier setzt der Data Act an: Der Datenzugang soll künftig nicht improvisiert, sondern bereits technisch und organisatorisch vorgesehen werden.
Access by Design als Produktanforderung
Besonders wichtig ist der Grundsatz Access by Design. Neue vernetzte Produkte müssen so entwickelt werden, dass Nutzer auf relevante Daten zugreifen können. Der Zugriff soll einfach, sicher, strukturiert und maschinenlesbar möglich sein. In der Praxis werden dafür häufig dokumentierte Schnittstellen, etwa Application Programming Interfaces (APIs), erforderlich sein.
Für KMU-IoT-Hersteller wird damit die Produktentwicklung zum zentralen Umsetzungspunkt. Bereits in der Entwicklungsphase sollte geklärt werden, welche Daten entstehen, welche Daten zugänglich gemacht werden müssen und wie der Zugriff technisch abgesichert wird. Auch Datenschutz, Geschäftsgeheimnisse und Informationssicherheit müssen dabei von Anfang an mitgedacht werden.
KMU-Ausnahme nicht überschätzen
Für kleinere Unternehmen gibt es eine wichtige Entlastung. Unternehmen mit weniger als 50 Beschäftigten und höchstens 10 Millionen Euro Jahresumsatz oder Jahresbilanzsumme können unter bestimmten Voraussetzungen von Zugriffspflichten ausgenommen sein.
Diese Ausnahme sollte jedoch nicht als dauerhafte Entwarnung verstanden werden. Unternehmen müssen sorgfältig prüfen, ob sie tatsächlich unter die Schwellenwerte fallen. Bei verbundenen Unternehmen, Beteiligungsstrukturen oder starkem Wachstum kann die Einordnung schwieriger sein. Zudem können Unternehmen aus der Ausnahme herauswachsen. Wer neue Produktgenerationen plant, sollte Datenzugang und Schnittstellen deshalb bereits zukunftsfähig gestalten.
Cloud- und SaaS-Dienste gesondert prüfen
Viele IoT-Hersteller bieten neben Hardware auch Apps, Dashboards, Wartungsportale oder Software-as-a-Service (SaaS)-Lösungen an. Hier ist eine genaue Rollenprüfung wichtig. Ein Unternehmen kann zugleich Hersteller eines vernetzten Produkts, Anbieter eines verbundenen Dienstes und Anbieter eines Datenverarbeitungsdienstes sein.
Gerade Cloud- und SaaS-Angebote sollten deshalb gesondert geprüft werden. Relevant sind etwa Regelungen zu Datenexport, Anbieterwechsel, Kündigung, technischen Formaten und möglichen Wechselkosten. Unklare oder unangemessene Wechselhürden können künftig problematisch werden.
Verträge, Gegenleistung und Datenschutz mitprüfen
Der Data Act wirkt sich auch auf Verträge aus. KMU-IoT-Hersteller sollten Kundenverträge, Nutzungsbedingungen, Datenlizenzverträge, Wartungsverträge und SaaS-Bedingungen überprüfen. Wichtig ist, dass klar geregelt wird, welche Daten erzeugt werden, wer darauf zugreifen kann und wie eine Weitergabe an Dritte ausgestaltet ist.
Auch die Frage einer angemessenen Gegenleistung kann relevant werden, wenn Daten bereitgestellt werden müssen. KMU sollten deshalb frühzeitig prüfen, welche Kostenmodelle zulässig und wirtschaftlich tragfähig sind.
Sobald Daten personenbezogen sind, bleibt zudem die Datenschutz-Grundverordnung (DSGVO) anwendbar. Das kann bei IoT-Produkten schneller der Fall sein als erwartet, etwa bei Standortdaten, Nutzungsprofilen, Fahrzeugdaten oder Daten über Beschäftigte, die Maschinen bedienen. Der Data Act ersetzt die DSGVO nicht. Beide Regelwerke müssen gemeinsam betrachtet werden.
Fazit
Für KMU-IoT-Hersteller ist der Data Act vor allem ein praktisches Umsetzungsthema. Der 12. September 2026 macht deutlich, dass neue vernetzte Produkte frühzeitig auf Datenzugang und Schnittstellenfähigkeit vorbereitet werden müssen. Hinzu kommt, dass das deutsche Durchführungsgesetz die behördliche Durchsetzung konkretisiert.
KMU sollten sich nicht allein auf mögliche Ausnahmen verlassen. Wer wächst, neue Produktgenerationen plant oder Cloud- und SaaS-Dienste anbietet, sollte jetzt prüfen, welche Produkte betroffen sind, welche Daten entstehen, welche Schnittstellen fehlen und welche Verträge angepasst werden müssen. So lässt sich der Data Act nicht nur als Compliance-Pflicht, sondern auch als Vertrauensvorteil gegenüber Kunden nutzen.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
