Vorab: Das Ende stellt der Data Act sicherlich nicht dar. Aber für viele Unternehmen bedeutet diese seit September 2025 geltende EU-Verordnung durchaus einen spürbaren Einschnitt. Das wird am besten an folgendem Beispiel deutlich:
Nach dem Data Act muss ein Hersteller von Maschinen, die als „vernetzte Produkte“ bei seinen Abnehmern Daten beispielsweise über Verschleiß oder Energiebedarf erheben, ihnen diese Daten auf Nachfrage zur Verfügung stellen, selbst wenn es sich dabei – wie in seinem Fall – um Geschäftsgeheimnisse handelt. Dabei macht es keinen Unterschied, ob Abnehmer dieser Maschinen Unternehmen (z. B. bei Industriemaschinen) oder Verbraucher (z. B. bei Haushaltsgeräten) sind. Als weitere vernetzte Produkte nennt der Data Act u. a. Fahrzeuge, medizinische Ausrüstungen, Lifestyle-Ausrüstungen, Konsumgüter sowie Medizin- und Gesundheitsprodukte.
Noch heikler wird die Datenweitergabe dadurch, dass der Maschinenhersteller auf Verlangen der Abnehmer Daten über Verschleiß oder Energiebedarf sogar Drittunternehmen überlassen muss. Das können dann beispielsweise auch Unternehmen sein, die auf einem Folgemarkt (z. B. Reparaturen oder Wartungen) in direktem Wettbewerb mit ihm stehen.
Es bleibt abzuwarten, ob die Rechte, die der Data Act dem Maschinenhersteller gewährt, ihn bei der Weitergabe der Daten über Verschleiß oder Energiebedarf ausreichend schützen. So muss die Überlassung zwar „unbedingt“ erforderlich sein. Ob dies der Maschinenhersteller selbst nachweisen muss oder, ob die Abnehmer bzw. Drittunternehmen in der Pflicht stehen, bleibt aber offen.
Dass Vertraulichkeitsmaßnahmen wie entsprechende Vereinbarungen oder technische Schutzvorkehrungen zulässig sind und dem Maschinenhersteller eine Datenweitergabe nicht einseitig von Abnehmern bzw. Drittunternehmen auferlegt werden kann, wird im Data Act als Besonderheit festgehalten, obwohl es sich dabei eigentlich um eine Selbstverständlichkeit handeln sollte. Wirklich ablehnen kann der Maschinenhersteller die Überlassung der Daten über Verschleiß oder Energiebedarf tatsächlich nur in folgenden Fällen:
- Er erzielt keine Einigung über die Vertraulichkeitsmaßnahme. Trotzdem muss der Maschinenhersteller seine Ablehnung „ordnungsgemäß“ begründen und die zuständige Behörde – der Bundestag plant hierfür die Bundesnetzagentur ein – informieren.
- Die Abnehmer bzw. Drittunternehmen halten sich nicht an die Vertraulichkeitsmaßnahme. Auch hier trifft den Maschinenhersteller die Begründungs- und Informationspflicht.
- Falls der Maschinenhersteller unter „außergewöhnlichen“ Umständen nachweisen kann, dass er trotz der Vertraulichkeitsvereinbarungen bzw. technischen Schutzmaßnahmen mit „hoher“ Wahrscheinlichkeit einen „schweren“ wirtschaftlichen Schaden durch eine Offenlegung der Daten über Verschleiß oder Energiebedarf erleiden wird, kann er das Datenzugangsverlangen ablehnen. Voraussetzung ist eine besonders detaillierte Begründung und eine Anzeige bei der Behörde.
Verweigert der Maschinenhersteller die Datenüberlassung oder erfolgt sie nicht richtig, vollständig oder rechtzeitig, droht ihm nach dem Willen des Bundestages eine Geldbuße von bis zu 500.000 Euro.
Für die Geschäftsführung des Maschinenherstellers birgt all dies mannigfaltige Haftungsrisiken. Nutzt sie etwa die Möglichkeiten nicht, die Datenüberlassung – ggf. auch nur in Teilen – rechtmäßig abzulehnen, und wird es durch diese Geschäftsgeheimnisse anderen Unternehmen möglich, in Wettbewerb mit dem Maschinenhersteller zu treten, ist ihm seine Geschäftsführung zum Schadensersatz verpflichtet. Gleiches gilt, wenn sie Verstöße nicht verfolgt. Spiegelbildlich zu diesen Fällen kann es bei unberechtigten Verweigerungen zu Schadensersatzansprüchen der Abnehmer bzw. Drittunternehmen gegen den Maschinenhersteller kommen, für die er dann seine Geschäftsführung in Regress nimmt. Einen Regress kann es zudem in Höhe der Geldsumme geben, die der Maschinenhersteller aufwendet, um eine von der Geschäftsführung verschuldete Geldbuße zu bezahlen.
Fazit: Auch ihrer eigenen Haftungsrisiken wegen kommen Geschäftsführer nicht umhin, mit dem Data Act neue bürokratische Hürden zu meistern.
Dieser Beitrag ist Teil unseres Sondernewsletters Managementperspektive: Cyberrisiken im Fokus. Bleiben Sie über aktuelle Entwicklungen informiert – jetzt Newsletter abonnieren.