Der EU Data Act ist die wichtigste regulatorische Neuerung für IoT, Maschinendaten und Cloud seit der DSGVO. Seit dem 12. September 2025 voll anwendbar — und für Hamburger Industriebetriebe, Hafenlogistiker, Maschinenbauer und Cloud-Nutzer eine Pflicht, kein Vorschlag.
Die meisten unserer Kunden in Hamburg hatten den Data Act 2024 noch auf dem Radar als „eine dieser EU-Verordnungen, die mal kommen”. 2026 ist die Realität eine andere: Erste Bußgeld-Verfahren laufen. Erste Großkunden fordern Datenherausgabe nach Art. 4. Erste Cloud-Anbieter müssen Wechsel-Klauseln in laufende Verträge nachziehen. Wer jetzt noch nicht anfängt, kommt in eine teure Verteidigungsschlacht.
Inhalt in Kürze
- Data Act voll anwendbar seit 12.09.2025 — ohne Übergangsfristen für die meisten Pflichten.
- Hamburger Industrie, Hafen, Maschinenbau besonders betroffen — Aufzugsbauer, Container-Telematik, Schiffbauzulieferer, Spedition-Telematik.
- Strafen bis 20 Mio. € oder 4 % Umsatz — die zuständige Aufsicht ist in Hamburg die Behörde für Wirtschaft und Innovation (BWI).
- Cloud Switching: 30-Tage-Frist — Lock-in-Verträge sind tot, Wechselgebühren entfallen schrittweise bis 12.01.2027.
- FRAND-Konditionen für Datenweitergabe — viele bestehende After-Sales-Geschäftsmodelle müssen neu aufgesetzt werden.
- Integrierte Compliance mit DSGVO + NIS2 nötig — Datenzugang, Datensicherheit, Datenschutz greifen ineinander.
Die Verordnung (EU) 2023/2854 zwingt seit dem 12. September 2025 Hersteller vernetzter Produkte und Anbieter damit verbundener Dienste, Nutzern den Zugang zu „ihren" Daten zu gewähren, B2B-Datenverträge nach FRAND-Konditionen zu gestalten und Cloud-Anbieter-Wechsel in 30 Tagen technisch zu ermöglichen — bei Bußgeldern bis 20 Mio. € oder 4 % des weltweiten Jahresumsatzes.
Warum der Data Act für Hamburg besonders relevant ist
Hamburg vereint Industrie, Logistik und Tech wie kaum eine zweite deutsche Stadt. Die wichtigsten Branchen mit Data-Act-Berührung:
| Branche | Hamburger Schwerpunkt | Data-Act-Hauptthema |
|---|---|---|
| Hafen-Logistik | HHLA, Eurogate, Hapag-Lloyd, Dakosy, ca. 280 Container-Stewards | Container-Telematik, TOS-Datenflüsse, Tracker-APIs |
| Maschinenbau | Aufzugsbauer (Schindler, ThyssenKrupp), Werkzeugmaschinenhersteller in Norderstedt | Wartungsdaten, Predictive-Maintenance-Modelle |
| Schiffbau & Offshore | Blohm+Voss, Reedereien, Schiffbauzulieferer | Sensor-Daten an Bord, Schiffsmotor-Telemetrie |
| Spedition & Flottentelematik | Hunderte Speditionen in Allermöhe, Billbrook, Stelle | Fahrzeug-Daten, Geofencing, Tachografen-Daten |
| Gebäudetechnik | Aufzugswartung, HLK-Wartung in HafenCity, Bankenviertel | Predictive-Maintenance, Aufzugs-IoT |
| E-Commerce & Fulfillment | Otto, Amazon Allermöhe, Hermes Hamburg | Logistik-Daten, Sendungsverfolgung |
Wer in einem dieser Cluster arbeitet, ist Data Holder oder Nutzer oder Dritter — und meistens alle drei gleichzeitig. Eine HHLA-Tochterfirma mit IoT-Trackern an Reach-Stackern ist Data Holder gegenüber dem Eigentümer der Geräte und gleichzeitig Nutzer gegenüber den Cloud-Anbietern, die die Daten speichern. Mehr zur lokalen Logistik-Branche in Hamburg und unseren konkreten Erfahrungen im IoT-Einsatz in der Lieferkette.
„Wir sehen seit Herbst 2025 in Hamburg den gleichen Effekt wie bei NIS2 zwei Jahre vorher: Die Mittelständler, die jetzt anfangen, kommen entspannt durch. Wer wartet, bis der erste Kunde mit einem Data-Act-Anspruch in der Tür steht, hat ein Problem. Und beim Hafen-Cluster passiert das gerade fast täglich."
Jens HagelGeschäftsführer, hagel IT-Services GmbH
Die drei Kern-Säulen des Data Acts
Der Data Act ist anders strukturiert als DSGVO oder NIS2. Er regelt drei unterschiedliche Themen in einem Gesetzeswerk. Das macht ihn auf den ersten Blick komplex — aber die Säulen lassen sich sauber trennen. Die Volltext-Verordnung finden Sie im EUR-Lex-Portal der EU-Kommission.
Säule 1: Zugang zu Daten vernetzter Produkte (Art. 3-12)
Wer ein vernetztes Produkt herstellt oder einen damit verbundenen Dienst anbietet, muss den Nutzer informieren und ihm Zugriff auf die Daten geben. „Daten” meint dabei alle Rohdaten und nicht-trivial verarbeiteten Daten — also Sensorwerte, Logfiles, Telemetrie. Aggregierte Geschäftsdaten oder KI-Modelle, die aus den Daten trainiert wurden, fallen nicht darunter.
Konkret in Hamburg: Wenn ein Aufzugsbauer aus Norderstedt einen Aufzug mit IoT-Sensorik in ein Hamburger Bürohaus liefert, gehört der Datenstrom (Fahrtzyklen, Türöffnungen, Temperaturen, Vibrationen) dem Aufzugsbesitzer — nicht dem Hersteller. Der Besitzer kann die Daten anfordern, in maschinenlesbarem Format. Und er kann sie an einen unabhängigen Wartungsbetrieb weitergeben lassen, um Wartungsangebote zu vergleichen. Das ist eine fundamentale Veränderung gegenüber dem klassischen After-Sales-Modell.
Säule 2: B2B-Datenaustausch nach FRAND-Bedingungen (Art. 8-13)
Wenn Daten zwischen Unternehmen ausgetauscht werden — sei es vertraglich vereinbart oder gesetzlich verpflichtet — gelten FRAND-Konditionen. Das bedeutet: Faire Preise (Kostendeckung plus angemessene Marge, keine Mondpreise), angemessene Bedingungen (keine versteckten Lock-in-Klauseln), diskriminierungsfreie Behandlung (Wettbewerber dürfen nicht schlechter gestellt werden als verbundene Unternehmen).
Außerdem schützt Art. 13 KMU vor unfairen Vertragsklauseln in B2B-Datenverträgen. Klauseln, die einseitig zu Lasten des KMU gehen — etwa Haftungsausschlüsse, einseitige Vertragsänderungsrechte, automatische Verlängerungen ohne Kündigungsrecht — gelten als unwirksam, wenn sie nicht „in gutem Glauben” ausgehandelt wurden.
Säule 3: Cloud Switching und Interoperabilität (Art. 23-31)
Das wahrscheinlich größte praktische Thema für jeden Hamburger Mittelständler, der Microsoft 365, Azure oder AWS nutzt. Cloud-Anbieter müssen:
- Wechsel-Klauseln in alle Verträge aufnehmen (Art. 25) — mit klar definierter Switching Period (max. 30 Tage), Datenexport-Format, Schnittstellen-Beschreibung.
- Wechselgebühren schrittweise abbauen (Art. 29) — ab 12.01.2027 entfallen alle Wechselgebühren komplett, in der Übergangszeit nur reduzierte Kosten.
- Funktionale Äquivalenz beim Datenexport (Art. 30) — bei IaaS in vollständig portierbarer Form (Maschinen, Volumes, Snapshots), bei SaaS in einem strukturierten Format mit dokumentierter Semantik.
- Interoperabilitäts-Standards einhalten (Art. 33-34) — über delegierte Rechtsakte werden technische Standards verbindlich.
Das ist eine massive Verschiebung gegenüber dem heutigen Markt. Microsoft, AWS, Google Cloud, Oracle und SAP haben ihre Standardverträge bereits 2025 angepasst — aber Bestandsverträge laufen oft noch unter alten Klauseln. Wer als Hamburger Mittelständler eine Cloud-Migration plant, sollte die neuen Wechsel-Rechte aktiv in die Vertragsverhandlung einbringen.
Use Case: Maschinenbau mit IoT-Sensorik
Nehmen wir einen typischen Hamburger Maschinenbauer aus dem Süderelbe-Industriegebiet — Mitarbeiterzahl 60, Umsatz 18 Mio. €, Spezialgebiet: Förder- und Sortieranlagen für Logistikzentren. Die Anlagen werden seit 2018 mit Telemetrie ausgestattet — Vibrationssensoren, Temperaturfühler, Stromzähler, Laufzeit-Counter. Die Daten gehen an einen Cloud-Service des Herstellers, der daraus Wartungs-Empfehlungen ableitet. Das After-Sales-Geschäft (Wartung, Ersatzteile, Schulungen) macht 35 % des Umsatzes.
Mit dem Data Act ändert sich folgendes:
- Kunde XY GmbH (Betreiber einer Sortieranlage in Bremen) kann jederzeit alle Rohdaten anfordern — kostenlos, maschinenlesbar (typischerweise JSON oder OPC UA).
- Wettbewerbs-Wartungsbetrieb kann auf Anweisung des Kunden ebenfalls Daten erhalten — gegen FRAND-Vergütung (etwa 0,50 € pro Datenpunkt-Monat als Marktstandard 2026).
- Predictive-Maintenance-Modelle des Herstellers (das aus den Daten trainierte ML-Modell) bleiben proprietär — aber die Rohdaten, auf denen es basiert, sind verfügbar.
- Vertragsklauseln in Wartungsverträgen, die exklusive Datenzugriffe vorsehen, sind unwirksam (Art. 13).
„Wir haben mit einem Aufzugsbauer aus dem Hamburger Süden im November 2025 eine erste Datenkatalogisierung gemacht. Das hat 6 Wochen gedauert — und am Ende war die Erkenntnis: Sie haben technisch alles, was sie brauchen, um Data-Act-konform zu sein. Aber die Vertragsbasis war komplett alt. Vier Standard-Wartungsverträge mussten in den nächsten 12 Monaten neu verhandelt werden — sonst Risiko der Unwirksamkeit.”
Use Case: Hafen-Logistik und Container-Telematik
Der Hamburger Hafen ist mit Abstand das spannendste Praxisfeld für den Data Act in Norddeutschland. Über 8 Mio. Standard-Container (TEU) pro Jahr, zehntausende IoT-Tracker, sechs große Terminals, ein zentrales Port-Community-System (Dakosy). Praktisch jedes Bewegungs-, Temperatur- und Statussignal eines Containers oder Trailers wird heute irgendwo digital erfasst.
Wer ist hier was?
| Akteur | Rolle unter Data Act |
|---|---|
| Reederei (Hapag-Lloyd, MSC, Maersk) | Container-Eigentümer = Nutzer; hat Anspruch auf alle Tracker-Daten ihrer Container |
| HHLA, Eurogate | Terminal-Betreiber; oft Data Holder für Reach-Stacker-, Brücken-, Gate-Sensorik |
| Tracker-Anbieter (z.B. Nexxiot, Traxens) | Data Holder für die Tracker-Daten |
| Spediteur | Frachtkunde; kann Nutzer-Rechte abgeleitet vom Reeder geltend machen |
| Verlader (z.B. Importeur in HafenCity) | Endkunde; kann über Spediteur oder Reeder Daten anfordern |
| Versicherer | Dritter; kann auf Anweisung des Versicherungsnehmers Daten erhalten |
Die Komplexität entsteht durch die langen Wertschöpfungs-Ketten. Ein Container, der in Shanghai beladen, in Hamburg umgeladen und in Stuttgart entladen wird, hat 7-12 verschiedene IT-Systeme involviert. Jedes davon ist potenziell Data Holder, jeder Logistik-Akteur ist potenziell Nutzer. Wir empfehlen Hamburger Logistik-Unternehmen, ihre Datenflüsse einmal komplett zu mappen — am besten mit einer strukturierten IT-Beratung Hamburg, die die regulatorische und die technische Seite verbindet.
Im Hafen-Cluster nutzen viele Mittelständler IoT-Plattformen von US-Anbietern (etwa AWS IoT Core, Azure IoT Hub) als Sub-Plattform. Diese Anbieter werden indirekt zu Data Holdern. Wer als Hamburger Spedition seinen Tracker-Service über AWS abwickelt, muss prüfen: Sind die AWS-Vertragsklauseln Data-Act-konform? Hat AWS Wechsel-Klauseln nachgezogen? Was sind die Datenexport-Optionen, wenn der Kunde wechseln will?
Use Case: Cloud Switching für Hamburger Mittelständler
Das mit Abstand am häufigsten unterschätzte Thema. Fast jeder Hamburger Mittelständler hat Lock-in-Effekte in seinen Cloud-Verträgen — meist ohne sich dessen bewusst zu sein.
Typische Lock-in-Quellen, die der Data Act jetzt angreift:
- Hohe Egress-Gebühren. AWS und Azure haben jahrelang die Datenübertragung aus der Cloud heraus teurer gemacht als hinein — klassisches Wechsel-Hindernis. Wird ab 2027 unzulässig.
- Proprietäre Datenformate. SaaS-Anbieter mit eigenen DB-Strukturen, die nicht in offene Standards exportierbar sind. Müssen funktional äquivalent exportieren.
- Vertragslaufzeiten ohne Sonderkündigungsrecht. 3-Jahres-Verträge mit jährlicher Verlängerung sind nach Art. 25 nur noch begrenzt zulässig.
- Custom-API-Abhängigkeiten. Wenn der Code des Kunden tief in proprietäre APIs eingreift, ist Wechsel technisch unmöglich. Anbieter müssen jetzt Standard-Schnittstellen anbieten.
- Knowhow-Lock-in. Stark anbieterspezifische Services (z.B. AWS Lambda, Azure Functions) — der Data Act adressiert das über Standardisierungs-Bemühungen, aber praktisch bleibt es Risiko.
Was Sie heute schon machen können, auch ohne neue Verträge: Eine Cloud-Exit-Strategie dokumentieren. Welche Workloads laufen wo? Welche wären in welchem Zeitraum migrierbar? Was würde es kosten? Das ist ohnehin Teil moderner Cloud- und Microsoft-365-Beratung und für ISO 27001, NIS2 und DORA ebenfalls relevant.
FRAND in der Praxis: Was ist „fair” bei Datenpreisen?
FRAND-Berechnung ist eines der schwierigsten Themen. Die ESMA, BNetzA und die EU-Kommission haben Leitlinien angekündigt, aber 2026 ist die Praxis noch in der Klärungsphase. Was sich bereits herauskristallisiert:
| FRAND-Komponente | Was zählt dazu | Was nicht |
|---|---|---|
| Direkte Kosten | Storage-Kosten, Bandbreite, API-Calls, Compute für Aggregation | Marketing, Vertrieb, Management-Overhead |
| Angemessene Marge | Branchenüblich ca. 5-15 % auf Direktkosten | Erlöse aus Sekundärnutzung der Daten |
| Anpassungskosten | Format-Konvertierung, Anonymisierung wenn nötig | Strategische Lizenz-Aufschläge |
| KMU-Aufschlag | Bis zu 25 % zusätzlich für KMU-Data-Holder erlaubt | Pauschale Monopolisierungs-Aufschläge |
Praktisch werden viele Hamburger Maschinenbauer feststellen, dass ihre bisherigen Daten-Geschäftsmodelle nicht mehr funktionieren. Wer pro Datenpunkt 5 € pro Monat verlangt hat (typisch für exklusive Predictive-Maintenance-Verträge), wird zukünftig bei 0,10-0,80 € pro Datenpunkt-Monat landen. Das Geschäftsmodell verschiebt sich von Daten-Lock-in zu Mehrwert-Diensten auf Basis offener Daten.
„Unser IT-Dienstleister war eine One-Man-Show. Solange er Zeit hatte, lief alles super. Aber irgendwann hatte er keine Zeit mehr — und wir standen allein da mit unseren Problemen."
Genau dieser Effekt — Abhängigkeit von einem einzigen Anbieter ohne Substitutions-Möglichkeit — ist unter dem Data Act jetzt regulatorisch sanktioniert. Cloud-Switching-Klauseln sollen genau diese Single-Point-of-Failure-Situationen entschärfen.
Roadmap: 6 Monate zur Data-Act-Tauglichkeit
Wenn Sie heute starten, sieht die typische Roadmap für einen Hamburger Mittelständler mit IoT-Produkten oder relevanter Cloud-Nutzung so aus:
- Monat 1 — Inventur: Vollständige Liste aller vernetzten Produkte, IoT-Datenströme, Cloud-Services. Welche Daten werden erzeugt, wo gespeichert, wer hat Zugriff?
- Monat 1-2 — Vertragsaudit: Bestehende AGB, Wartungsverträge, Cloud-Verträge gegen Data-Act-Anforderungen prüfen. Anwaltskanzlei nötig — Hamburger Fachanwälte für IT-Recht haben hier 2025 viel Erfahrung gesammelt.
- Monat 2-3 — Datenkatalog: Welche Daten können Sie herausgeben? In welchen Formaten (JSON, CSV, MQTT, OPC UA, OData)? Über welche Schnittstellen (REST-API, GraphQL, Webhook)?
- Monat 3-4 — Technische Implementierung: API-Endpoint für Datenanforderungen, Authentifizierung (OAuth 2.0 + API-Keys), Rate-Limiting, Audit-Log.
- Monat 4-5 — Vertragsanpassungen: Neue Vorlagen für AGB, Wartungsverträge, EULAs. Bestandsverträge mit Bestandskunden nachziehen.
- Monat 5-6 — Cloud-Exit-Strategie: Migrations-Plan für jeden kritischen Cloud-Workload, Datenexport-Test durchführen, Switching-Klauseln in alle Cloud-Verträge.
Die Reihenfolge ist wichtig. Wer mit technischer Implementierung anfängt, bevor der Datenkatalog steht, baut typischerweise an der falschen Stelle. Wer ohne Vertragsbasis Daten herausgibt, kann Erstkunden in Streitigkeiten verlieren. Wir empfehlen Hamburger Mittelständlern, die Roadmap parallel zur NIS2- und Compliance-Beratung aufzusetzen — viele Schritte überlappen sich.
Data-Act-Roadmap für Ihren Hamburger Betrieb?
15 Minuten Erstgespräch. Wir prüfen Ihre IoT-Datenströme, Cloud-Verträge und Vertragsbasis — und liefern Ihnen die ersten drei konkreten Schritte. Kostenlos, ohne Vertriebsdruck.
Erstgespräch buchen →Aufsicht und Strafen: Wer prüft, wer sanktioniert?
In Deutschland ist die Aufsichtslandschaft fragmentiert. Das ist in der Anfangszeit unangenehm — verschiedene Behörden mit unklarer Zuständigkeit — wird aber 2026 zunehmend strukturierter. Die Bundesnetzagentur (BNetzA) hat eine zentrale Übersichtsseite zum Data Act eingerichtet.
| Aufsicht | Zuständig für | Region |
|---|---|---|
| Bundesnetzagentur (BNetzA) | Cloud-Switching, Interoperabilität, Datenzugang über Cloud-Provider | Bundesweit |
| Behörde für Wirtschaft und Innovation (BWI Hamburg) | Hamburger Industrie, Mittelstand, IoT-Produkte | Hamburg |
| Bundeskartellamt | Wettbewerbsfragen, FRAND-Streitigkeiten | Bundesweit |
| Datenschutzbehörden (HmbBfDI) | Wenn personenbezogene Daten betroffen — DSGVO-Schnittstelle | Hamburg |
| EU-Kommission (DG CNECT) | Grenzüberschreitende Fälle, Critical Infrastructure | EU-weit |
Die Hamburgische Behörde für Wirtschaft und Innovation ist erste Anlaufstelle für lokale Mittelständler. Wer einen Streitfall hat, sollte zuerst dort anfragen, bevor er Bußgeld-Verfahren riskiert.
Die Bußgeld-Praxis ist 2026 noch in der Findungsphase. Wir erwarten, dass die erste Welle „Pilot-Verfahren” gegen große US-Cloud-Anbieter und Tech-Konzerne sein wird (analog zur DSGVO-Frühphase) — Mittelständler werden in den ersten 12-18 Monaten eher mit Mahnungen und Anpassungs-Aufforderungen als mit Sofort-Bußgeldern konfrontiert. Aber: Wer sich beharrlich weigert, kann auch mit voller Härte getroffen werden.
Data Act und seine Wechselwirkungen mit anderen Regulierungen
Der Data Act ist nicht das einzige Stück Regulierung, das gerade auf Hamburger Mittelständler einwirkt. Die wichtigsten Wechselwirkungen:
| Regulierung | Wechselwirkung mit Data Act |
|---|---|
| DSGVO | Wenn IoT-Daten personenbezogen sind — beide Regelungen greifen parallel, DSGVO bleibt zwingend |
| NIS2 | Datensicherheit der Datenweitergabe-Schnittstellen — wer Daten herausgeben muss, muss sie sicher übertragen |
| Cyber Resilience Act (CRA) | Sicherheitsanforderungen an die IoT-Produkte selbst — Data Act regelt die Daten, CRA das Produkt |
| AI Act | Wenn aus Daten KI-Modelle trainiert werden — Trainingsdaten-Dokumentation, Bias-Prüfung |
| DORA | Für Finanzunternehmen — DORA hat Spezialregelung, Data Act subsidiär |
Praktisch heißt das: Wer den Data Act ernst nimmt, kann viele Bausteine direkt für die anderen Regelungen mitverwenden. Datenkatalog, API-Sicherheit, Audit-Logs — das sind alles Themen, die in DSGVO, NIS2 und CRA gleichermaßen relevant sind. Wer NIS2 schon umgesetzt hat, profitiert besonders — viele Kontrollen lassen sich für den Data Act mitverwenden, siehe unsere Praxis-Bilanz NIS2 nach 12 Monaten sowie die IoT-Datenschutz-Herausforderung.
Was hagel IT für Hamburger Industrie- und Logistik-Unternehmen anbietet
Wir betreuen seit 2008 Hamburger Mittelständler — viele davon mit IoT-Komponenten, Maschinenbau-Tradition, Hafen-Bezug oder Logistik-Schwerpunkt. Data Act ist für uns nicht das erste regulatorische Großprojekt: NIS2, CRA und DSGVO laufen schon längst parallel.
Konkrete Leistungen für Data-Act-Vorbereitung:
- Data Act Gap-Analyse: 4-6 Wochen. Vollständige Bestandsaufnahme Ihrer IoT-Datenströme, Cloud-Verträge und Vertragsbasis. Soll-Ist-Vergleich gegen die wichtigsten Pflichten.
- Datenkatalog-Aufbau: Welche Daten haben Sie, in welchen Formaten, wie können Sie sie herausgeben? Inkl. API-Konzept und Authentifizierung.
- Vertragsaudit mit Partner-Anwalt: Gemeinsam mit Hamburger Fachanwälten für IT-Recht — wir prüfen technisch, der Anwalt rechtlich.
- Technische Implementierung: Daten-API-Endpoint, OAuth-2.0-Authentifizierung, Audit-Log, Rate-Limiting. Inhouse oder als Managed Service.
- Cloud-Exit-Strategie: Migrations-Roadmap für jeden kritischen Workload, Datenexport-Tests, Multi-Cloud-Konzept.
- Schulungen für Geschäftsführung und IT-Leitung: Was bedeutet der Data Act konkret für mein Unternehmen?
Wer keine eigene Compliance-Abteilung hat, kann das komplette Data-Act-Programm als Beratungsprojekt einkaufen. Wir liefern Ergebnisse, Sie behalten die Verantwortung.
Fazit: Der Data Act ist gekommen, um zu bleiben
Wer Anfang 2025 noch hoffte, der Data Act würde irgendwie sanft starten, ist 2026 eines Besseren belehrt. Die Verordnung ist anwendbar, die Aufsichten arbeiten sich ein, erste Fälle laufen. Für Hamburger Industriebetriebe, Logistiker und Maschinenbauer ist klar: Wer heute nicht startet, wird in 12-18 Monaten reaktiv und teuer nachziehen müssen.
Die gute Nachricht: Viele Bausteine — Datenkatalog, API-Sicherheit, Cloud-Exit-Strategie — sind auch für andere Compliance-Themen (DSGVO, NIS2, CRA, ISO 27001) wertvoll. Wer den Data Act als Anlass nutzt, seine Datenarchitektur insgesamt zu professionalisieren, gewinnt mehr als nur Compliance.
