EU DATA ACT – NBK Legal

Was dieser Leitfaden Ihnen gibt

Schnelltest: Betrifft der Data Act mein Unternehmen?
Datenzugangsrechte und Datenportabilität
Vertragliche Gestaltungsspielräume
Verbindung zu DGA und DSGVO

Datenzugangsrechte · Vertragsrealität · Geschäftsgeheimnisse · Branchenprofile

Vorbemerkung

Diese Leitfadenreihe ist aus einer spezifischen Perspektive heraus geschrieben: der einer General Counsel / Senior Vice President, die über viele Jahre in leitender Inhouse-Funktion in regulierten Unternehmen gearbeitet hat – in der Schweiz und in der EU. Die Autorin verfügt über eine juristische und betriebswirtschaftliche Ausbildung in der Schweiz und in Deutschland sowie über langjährige operative Erfahrung als interne Rechts- und Compliance-Verantwortliche in internationalen Konzernen und KMU-Umfeldern.

Diese Kombination – juristische Tiefe, operatives Management-Know-how und direkte Erfahrung mit den Realitäten von Lieferketten, Vertragsverhandlungen und Aufsichtsbehörden – ist der Grund, warum die Texte so geschrieben sind, wie sie sind: nicht als formale Gesetzeskommentare, sondern als Arbeitsinstrumente. Sie richten sich gleichzeitig an Führungskräfte, die schnell einordnen müssen, was eine Regulierung für ihr Unternehmen bedeutet, und an Fachabteilungen, die wissen müssen, was operativ zu tun ist.

Der interdisziplinäre Ansatz ist bewusst: Digitale Regulierung berührt gleichzeitig IT, Recht, Procurement, Geschäftsführung, HR und Lieferkette. Eine Perspektive, die nur eine dieser Dimensionen kennt, liefert unvollständige Antworten. Die Leitfäden versuchen, alle relevanten Dimensionen gleichzeitig zu adressieren – mit dem Bewusstsein, dass in der Praxis selten ein Team allein zuständig ist und die wirklichen Herausforderungen meistens an den Schnittstellen entstehen.

Die Perspektive «Schweizer KMU im EU-Kontext» ist nicht zufällig. Sie spiegelt langjährige Arbeit an der Schnittstelle zwischen Schweizer Geschäftspraxis und europäischem Regulierungsrahmen: die Erfahrung, was es konkret bedeutet, wenn ein EU-Kundenvertrag plötzlich DORA-Klauseln enthält, wenn ein Procurement-Fragebogen AI-Act-Anforderungen stellt oder wenn ein Lieferant keine NIS2-konformen Sicherheitsnachweise liefern kann. Diese Leitfäden sind aus genau diesen Situationen heraus entstanden – nicht aus dem Lesen von Gesetzestexten, sondern aus der Erfahrung ihrer Auswirkungen.

Hinweis

Diese Leitfäden ersetzen keine Rechtsberatung. Sie sind Orientierungsinstrumente aus der Praxis und können keine auf den Einzelfall bezogene juristische, steuerliche oder technische Beratung ersetzen. Bei konkreten Fragen zu Ihrer Situation wenden Sie sich an qualifizierte Fachleute – gerne auch an das Team von NBK Legal: www.nbklegal.online

Vorwort: Warum der Data Act anders ist als NIS2 oder AI Act

Der Data Act (seit September 2025 wirksam) ist kein Sicherheits- oder KI-Regulierungsrahmen. Er ist ein Datenwirtschaftsgesetz: Er bestimmt, wer auf welche Daten zugreifen darf, zu welchen Bedingungen, und wie Macht über Daten in Wertschöpfungsketten verteilt wird.

Für Schweizer KMU ist das auf den ersten Blick abstrakt. In der Praxis bedeutet es: Ihre Kunden bekommen neue Rechte auf Daten, die Ihre Produkte erzeugen. Und Ihre eigenen Rechte gegenüber Plattformen und Cloud-Anbietern werden stärker.

Das Grundprinzip des Data Acts Wer ein vernetztes Produkt kauft oder einen digitalen Dienst nutzt, soll Zugang zu den dabei erzeugten Daten bekommen – in Echtzeit, maschinenlesbar, und ohne übermässige Hürden. Das klingt nach Datenschutz, ist aber etwas anderes: Es geht nicht um personenbezogene Daten, sondern um Nutzungsdaten von Geräten und Diensten.

1. Bin ich betroffen? – Entscheidungslogik

Der Data Act hat mehrere Anwendungsbereiche. Bevor Sie weiterlesen, klären Sie, welcher auf Sie zutrifft.

1.1 Der Schnelltest

❓ Stellen Sie ein vernetztes Produkt her oder betreiben es – also ein Gerät, das Daten über seine Nutzung erzeugt (IoT, Maschinen, Fahrzeuge, Wearables, Smart Home)? JA → Sie sind Hersteller im Sinne des Data Acts. Ihr Produkt muss Nutzer-Datenzugang ermöglichen. Lesen Sie Abschnitt 2.1. NEIN → Weiter zu Frage 2.

❓ Bieten Sie einen digitalen Dienst an, der mit einem vernetzten Produkt verbunden ist – also Software, Apps, Cloud-Backend für ein Gerät? JA → Sie sind verbundener Dienstleister. Datenzugangspflichten gelten auch für Sie. Lesen Sie Abschnitt 2.2. NEIN → Weiter zu Frage 3.

❓ Sind Sie ein Cloud-Anbieter, der EU-Kunden Datenspeicherung oder -verarbeitung anbietet? JA → Sie unterliegen den Cloud-Switching-Regelungen des Data Acts. Lesen Sie Abschnitt 2.3. NEIN → Weiter zu Frage 4.

❓ Empfangen Sie Daten von EU-Partnern oder verarbeiten Sie Daten, die aus EU-vernetzten Produkten stammen? JA → Sie sind Datenempfänger. B2B-Datenteilungsregeln sind relevant. Lesen Sie Abschnitt 2.4. NEIN → Der Data Act ist für Sie derzeit nicht direkt relevant. Beobachten Sie, ob sich Ihr Geschäftsmodell ändert.

Mehrfach betroffen? Viele Schweizer KMU sind gleichzeitig Hersteller und verbundener Dienstleister – zum Beispiel ein Unternehmen, das ein IoT-Gerät plus Cloud-Backend verkauft. In diesem Fall gelten beide Pflichtenkataloge. Klären Sie intern, welche Datenpflichten für welchen Teil Ihres Angebots gelten.

1.2 Was der Data Act regelt – und was nicht

Data Act regelt	Data Act regelt NICHT
Datenzugang für Nutzer auf Daten ihrer Geräte und Dienste	Datenschutz personenbezogener Daten (das bleibt GDPR)
B2B-Datenteilung zu fairen Bedingungen	Geistiges Eigentum an Daten (Rohdaten sind nicht urheberrechtlich geschützt)
Cloud-Switching und Portabilität	Datensicherheit (das ist NIS2/DORA)
Staatlicher Datenzugang in Krisensituationen	Wettbewerbsrecht bei Datenmissbrauch (das ist DMA)
Schutz von Geschäftsgeheimnissen bei erzwungener Datenteilung	Verarbeitungspflichten – der Data Act gibt Zugangsrechte, kein Recht auf Verarbeitung

2. Was wird konkret von mir verlangt?

2.1 Hersteller vernetzter Produkte: Datenzugang für Nutzer

Wenn Ihr Produkt Daten über seine Nutzung erzeugt, hat der Nutzer – Konsument oder Unternehmen – ein Recht auf Zugang zu diesen Daten. Das ist keine Kann-Bestimmung.

Was 'Datenzugang' konkret bedeutet Echtzeit-Zugang (soweit technisch möglich), strukturiertes und maschinenlesbares Format, ohne übermässige Hürden oder Kosten. Der Nutzer muss die Daten auch an Dritte weiterleiten dürfen – zum Beispiel an Reparaturdienste oder Wettbewerber Ihrer Dienstleistung.

Was Sie technisch implementieren müssen:

API oder Schnittstelle: Der Datenzugang muss programmatisch möglich sein. Eine manuelle Datenexport-Funktion reicht für industrielle Produkte nicht.

Datenformat: Strukturiert und maschinenlesbar (JSON, CSV, standardisierte Formate). Proprietäre Formate sind problematisch.

Echtzeit-Fähigkeit: Für industrielle Geräte erwartet der Data Act Echtzeit- oder Nahezeit-Zugang. Tagesexporte sind kein Echtzeit.

Transparenz: Nutzer müssen bei Produktkauf informiert werden, welche Daten erzeugt werden und wie sie darauf zugreifen können.

2.2 Verbundene Dienstleister: Datenzugang auf Ihr Service-Backend

Wenn Ihr digitaler Dienst Daten erzeugt, die mit einem vernetzten Gerät zusammenhängen, gelten dieselben Datenzugangsrechte wie für den Gerätehersteller. Das betrifft insbesondere Cloud-Backends, Apps und Analyseplattformen.

Nutzungsdaten Ihrer App oder Ihres Services: Wenn ein Nutzer Ihre Software auf seinem Gerät betreibt und Daten entstehen, die seinen Betrieb beschreiben, hat er darauf Zugangsrecht.

Weiterleitung an Dritte: Der Nutzer darf die Daten an Wettbewerber Ihrer Dienstleistung weitergeben. Sie dürfen das nicht vertraglich verbieten.

Keine Zweckbindung gegen den Nutzer: Sie dürfen die Daten nicht so einsetzen, dass sie den Nutzer benachteiligen oder seine Wechselentscheidung beeinflussen.

Was das in der Praxis bedeutet Wenn Sie ein Wartungsportal für Industrieanlagen betreiben und Ihre Kunden nun das Recht haben, die Betriebsdaten ihrer Anlagen an einen Konkurrenten weiterzuleiten, ist das kein Fehler im System – das ist geltendes Recht. Bereiten Sie Ihre Produktstrategie und Ihre Verträge darauf vor.

2.3 Cloud-Anbieter: Switching und Portabilität

Der Data Act verpflichtet Cloud-Anbieter, Anbieterwechsel zu erleichtern. Das ist direkt relevant für Schweizer Cloud- und SaaS-Anbieter mit EU-Kunden.

Pflicht	Was das bedeutet	Frist
Switching-Unterstützung	Sie müssen einen Anbieterwechsel aktiv unterstützen, nicht nur dulden	30 Tage für Datentransfer nach Kündigung
Keine finanziellen Hürden	Ab September 2027: keine Switching-Gebühren mehr erlaubt	Übergangsphase bis 2027
Datenportabilität	Alle Kundendaten in einem standardisierten, exportierbaren Format bereitstellen	Bei Kündigung sofort
Interoperabilität	Technische Schnittstellen für den Datentransfer zu anderen Anbietern	Laufend
Transparenz zu Kosten	Vollständige Preistransparenz, keine versteckten Wechselgebühren	Sofort

2.4 Datenempfänger: B2B-Datenteilung

Wenn Sie Daten von EU-Partnern empfangen, die diese auf Basis des Data Acts mit Ihnen teilen müssen, gelten für Sie als Empfänger ebenfalls Regeln.

Faire Bedingungen: Sie dürfen die Daten nur für den vereinbarten Zweck nutzen.

Keine Weitergabe ohne Zustimmung: Empfangene Daten dürfen nicht ohne Genehmigung an Dritte weitergegeben werden.

Geschäftsgeheimnisse schützen: Sie müssen technische Maßnahmen ergreifen, um Geschäftsgeheimnisse des Datenlieferanten zu schützen.

Keine Nutzung zur Konkurrenz: Empfangene Daten dürfen nicht genutzt werden, um direkt mit dem Datenlieferanten zu konkurrieren.

3. Was können Sie gegenüber Plattformen und Kunden einfordern?

Dieser Abschnitt ist der meistübersehene Teil des Data Acts: Er gibt Schweizer KMU nicht nur Pflichten, sondern auch neue Rechte – insbesondere gegenüber großen Plattformen und Cloud-Anbietern.

3.1 Ihre neuen Rechte gegenüber Plattformen

Ihr Recht	Wer es schuldet	Wie Sie es einfordern
Zugang zu Daten, die Ihre Produkte auf Plattformen erzeugen	Plattformbetreiber	Schriftliche Anfrage mit Verweis auf Data Act Art. 4ff.
Switching ohne übermässige Kosten	Cloud- und SaaS-Anbieter	Vertragsklausel prüfen; ab 2027 gesetzlicher Anspruch
Faire und nicht-diskriminierende Datenteilungsbedingungen	Jeder, der Ihnen Datenzugang verweigert oder zu überhöhten Preisen verlangt	Beschwerde bei nationaler Datenbehörde
Schutz Ihrer Geschäftsgeheimnisse bei erzwungener Datenteilung	Der Datenempfänger	Vertragliche Geheimhaltungsklauseln + technische Maßnahmen verlangen

3.2 Vertragsklauseln: Verhandlungslinien

Datenzugangsklauseln in Ihren Produktverträgen

Akzeptabel

«Der Käufer erhält Zugang zu den Betriebsdaten des Produkts über eine standardisierte API. Der Umfang der zugänglichen Daten ist in Anhang X definiert. Die Daten werden in [Format] bereitgestellt und können von der Käuferin zu eigenen Zwecken und an Dritte weitergegeben werden.» – Klar, vollständig, Data-Act-konform.

Problematisch

«Die mit dem Produkt erzeugten Daten sind Eigentum des Herstellers und dürfen vom Käufer nur mit vorheriger schriftlicher Zustimmung genutzt werden.» – Das widerspricht dem Data Act direkt. Diese Klausel ist nichtig und signalisiert Unkenntnis des geltenden Rechts.

Cloud-Verträge: Switching und Exit

Akzeptabel

«Bei Vertragsbeendigung stellt der Anbieter alle Kundendaten innerhalb von 30 Tagen in einem standardisierten, maschinenlesbaren Format zur Verfügung. Switching-Unterstützung wird bis zu 6 Monate nach Kündigung zu vereinbarten Konditionen erbracht.» – Data-Act-konform und operativ handhabbar.

Problematisch

Überzogen (aus Lieferantensicht) «Alle durch den Dienst erzeugten Daten verbleiben beim Anbieter und können nach Vertragsende nicht exportiert werden.» – Ab 2027 illegal. Jetzt schon Vertragsrisiko. Streichen und ersetzen.

Geschäftsgeheimnisschutz bei Datenteilung

Akzeptabel

«Der Empfänger verpflichtet sich, empfangene Daten ausschließlich für den vereinbarten Zweck zu nutzen, diese nicht an Dritte weiterzugeben, und technische Maßnahmen zum Schutz von Geschäftsgeheimnissen gemäss Anhang Y umzusetzen.»

Zu schwach «Der Empfänger behandelt empfangene Daten vertraulich.» – Ohne Definition von 'vertraulich', ohne technische Maßnahmen und ohne Zweckbindung ist diese Klausel nicht durchsetzbar.

4. Die fünf häufigsten Fehler in der Praxis

Fehler 1: Data Act und GDPR verwechseln

Der häufigste Fehler: KMU behandeln den Data Act wie einen Datenschutzrahmen. Das ist falsch. Der Data Act regelt wirtschaftliche Datenzugangsrechte – auch für Maschinen- und Betriebsdaten, die keine personenbezogenen Daten sind. GDPR-Compliance schützt Sie nicht vor Data-Act-Pflichten.

Was zu tun ist

Daten-Inventar erstellen und für jeden Datensatz separat prüfen: GDPR-Relevanz (personenbezogen?) und Data-Act-Relevanz (aus vernetztem Produkt/Dienst erzeugt?). Beides kann gleichzeitig gelten.

Fehler 2: Datenzugang als rein technische Frage behandeln

'Wir bauen eine API' – und dann ist die Compliance-Abteilung entlassen. Der Data Act ist aber auch eine Geschäftsmodell-Frage: Wer hat Zugang zu den Daten, die Ihre Produkte erzeugen? Könnten Kunden diese Daten nutzen, um Ihre Dienstleistung durch einen Wettbewerber zu ersetzen? Das ist kein Bug des Data Acts, das ist seine Absicht.

Was zu tun ist

Produktstrategie überprüfen: Welche Teile Ihres Geschäftsmodells beruhen auf exklusivem Datenzugang? Wie reagieren Sie, wenn Kunden diese Daten an Dritte weitergeben? Diese Frage ist strategisch, nicht nur regulatorisch.

Fehler 3: Geschäftsgeheimnisse nicht aktiv schützen

Der Data Act erlaubt es Unternehmen, Datenzugangsanfragen abzulehnen oder einzuschränken, wenn Geschäftsgeheimnisse betroffen sind – aber nur wenn diese Geheimnisse auch nachweisbar geschützt wurden. Wer keine technischen und organisatorischen Maßnahmen zum Schutz seiner Geheimnisse implementiert hat, verliert diese Schutzposition.

Was zu tun ist

Geschäftsgeheimnisse identifizieren und dokumentieren (welche Daten sind warum schützenswert?), technische Zugangskontrollen implementieren, und den Schutz vertraglich absichern – bevor eine Datenzugangsanfrage kommt.

Fehler 4: Cloud-Verträge nicht überprüfen

Viele bestehende Cloud-Verträge enthalten Klauseln, die mit dem Data Act nicht vereinbar sind – insbesondere zu Dateneigentum, Portabilität und Wechselgebühren. Diese Verträge müssen aktiv überprüft und angepasst werden. Warten auf Vertragsablauf ist eine Strategie, aber keine gute.

Was zu tun ist

Alle Cloud- und SaaS-Verträge auf Data-Act-Kompatibilität prüfen: Dateneigentum, Export-Rechte, Wechselgebühren, Portabilitätsfristen. Verhandeln Sie Anpassungen proaktiv – nach 2027 haben Sie gesetzlichen Rückhalt, aber Verhandlungen laufen besser vor dem Konflikt.

Fehler 5: B2G-Datenzugang ignorieren

Der Data Act erlaubt Behörden in bestimmten Situationen (Krisensituationen, öffentliches Interesse), Datenzugang von Unternehmen zu verlangen. Das wird selten diskutiert, aber es ist relevant für Unternehmen in kritischen Sektoren. Wer darauf nicht vorbereitet ist, hat im Krisenfall keine geordneten Prozesse.

Was zu tun ist

Für Unternehmen in Energie, Gesundheit, Transport und kritischer Infrastruktur: B2G-Szenarien durchdenken. Was könnten Behörden anfordern? Wie würden Sie reagieren? Prozess aufbauen, bevor die Anfrage kommt.

5. Branchenprofile: Was bedeutet das konkret für Sie?

Profil A: Schweizer Hersteller von Industriemaschinen mit Cloud-Connectivity

Data-Act-Rolle	Hersteller vernetzter Produkte + verbundener Dienstleister (Cloud-Backend)
Was Kunden verlangen	Echtzeit-Datenzugang auf Betriebsdaten ihrer Maschine, API-Zugang, Recht auf Weiterleitung an Drittdienste
Ihr Risiko	Kunden können Wartungs- und Optimierungsdaten an Wettbewerber Ihrer Service-Sparte weiterleiten. Das ist rechtlich zulässig.
Priorität jetzt	API für Kundendaten-Zugang implementieren, Geschäftsgeheimnisschutz dokumentieren, Servicemodell-Strategie überprüfen
Typisches Problem	Daten, die bisher exklusiv für Ihre Predictive-Maintenance-Dienste genutzt wurden, müssen nun auch für Kunden-eigene Analysen verfügbar sein.

Profil B: Schweizer SaaS-Anbieter mit EU-Unternehmenskunden

Data-Act-Rolle	Verbundener Dienstleister + möglicherweise Cloud-Anbieter
Was Kunden verlangen	Export aller Nutzungsdaten, Switching-Unterstützung, keine Lock-in-Gebühren
Ihr Risiko	Kunden können Datenzugang und Portabilität als Verhandlungshebel nutzen. Wer keinen einfachen Exit bietet, verliert Deals.
Priorität jetzt	Datenexport-Funktion implementieren, Offboarding-Prozess dokumentieren, Vertragsklauseln zu Dateneigentum bereinigen
Chance	Einfaches Switching ist ein Differenzierungsmerkmal. 'Daten gehören immer dem Kunden' als Verkaufsargument positionieren.

Profil C: Schweizer Agrartechnik-Unternehmen mit IoT-Sensorik

Data-Act-Rolle	Hersteller vernetzter Produkte
Was Kunden verlangen	Zugang zu Felddaten, Maschinendaten, Ertragsdaten in standardisierten Formaten
Ihr Risiko	Farmer können Daten an Agrarplattformen und Beratungsdienste weiterleiten. Ihr exklusives Datenmodell bricht auf.
Priorität jetzt	Datenformat-Standardisierung (ISOBUS, FMIS-Standards), API-Dokumentation, Geschäftsgeheimnisschutz für Algorithmen
Chance	Interoperabilität mit EU-Agrarplattformen als Marktzugangsvorteil nutzen. Offene Schnittstellen als Standardangebot positionieren.

Profil D: Schweizer Energieversorger oder Gebäudetechnik-Anbieter

Data-Act-Rolle	Hersteller + möglicherweise B2G-Datenpflichten
Was Kunden verlangen	Echtzeit-Energiedaten, Gerätebetriebsdaten, Interoperabilität mit Smart-Grid-Systemen
Besonderes Risiko	B2G: In Energiekrisen kann die EU-Kommission oder nationale Behörde Datenzugang verlangen. Ohne Prozess entsteht Chaos.
Priorität jetzt	Smart-Meter-Datenzugangsprozesse implementieren, B2G-Szenario durchdenken, Interoperabilität mit EU-Energieplattformen sicherstellen
Regulatorischer Kontext	Data Act ergänzt EU-Energierecht und Smart-Metering-Vorgaben. Doppelte Prüfung empfohlen.

6. Data Act im Zusammenspiel mit GDPR, AI Act und NIS2

Thema	Data Act	GDPR	AI Act / NIS2
Was geregelt wird	Datenzugangsrechte, Datenwirtschaft	Schutz personenbezogener Daten	KI-Sicherheit / Cyber-Resilienz
Gilt für	Alle Daten aus vernetzten Produkten/Diensten	Personenbezogene Daten	KI-Systeme / kritische Infrastrukturen
Überschneidung	Wenn Gerätedaten personenbezogen sind: beide gelten	Data Act schafft keine GDPR-Ausnahmen	Logging und Dokumentation für alle drei
Priorität	Datenzugangsrechte sind neu und aktiv umzusetzen	GDPR-Compliance bleibt unverändert Pflicht	Separate Compliance-Pfade, aber gemeinsame Dokumentation möglich

Empfehlung Erstellen Sie ein Daten-Inventar, das gleichzeitig GDPR-Klassifizierung (personenbezogen/nicht personenbezogen) und Data-Act-Klassifizierung (aus vernetztem Produkt/Dienst erzeugt?) abbildet. Diese zwei Spalten sparen erheblichen Doppelaufwand.

7. Was Sie jetzt tun – priorisiert

Prio	Maßnahme	Warum jetzt
1	Daten-Inventar für alle vernetzten Produkte und Dienste erstellen	Grundlage für alle weiteren Maßnahmen. Ohne Inventar weiss niemand, was betroffen ist.
2	Bestehende Produktverträge auf Data-Act-Konformität prüfen	Klauseln zu Dateneigentum, die Kundenrechte einschränken, sind nichtig – und schaden dem Vertrauen.
3	API-Zugang für Kundendaten implementieren oder planen	Echtzeit-Datenzugang ist Pflicht für Hersteller vernetzter Produkte.
4	Cloud-Verträge auf Switching-Klauseln prüfen	Ab 2027 sind Wechselgebühren verboten. Wer jetzt verhandelt, ist im Vorteil.
5	Geschäftsgeheimnisse identifizieren und Schutz dokumentieren	Nur dokumentierte Geheimnisse sind beim erzwungenen Datenzugang geschützt.
6	Produktstrategie auf Datenzugang ausrichten	Das ist die strategische Frage: Wie sieht Ihr Geschäftsmodell aus, wenn Kunden Daten frei weitergeben können?

Hinweis

Dieser Leitfaden ersetzt keine Rechtsberatung. Bei konkreten Fragen wenden Sie sich an nbklegal.online.

Kontakt & weitere Informationen

NBK Legal Rechts- und Compliance-Beratung EU-Digitalregulierung · Datenschutz · Cybersicherheit Schweiz · EU	Website www.nbklegal.online Alle Leitfäden der Serie www.nbklegal.online/leitfäden

Weiter vertiefen

Self-Check Self-Check Governance Prüfen Sie Ihre Daten-Governance-Strukturen. Lesen → Krimi Krimi: Der gläserne Lieferant Wenn Datenzugangsrechte zum Wettbewerbsrisiko werden. Lesen → Deep Dive Deep Dive: Datenzugang Technische Tiefe zu Datenzugangsrechten und Interoperabilität. Lesen →