Seit 12. September 2025 ist die EU-Datenverordnung (Data Act, Verordnung (EU) 2023/2854) anwendbar. Die direkten Folgen für Selbstständige reichen weit über die IoT-Branche hinaus: Wer Cloud-Services nutzt, profitiert ab 2027 von Wechselrechten ohne Egress-Gebühren. Wer vernetzte Produkte vertreibt, muss Nutzern und Drittparteien Zugang zu Maschinen- und Sensordaten gewähren. Wer B2B-Verträge schliesst, sieht sich strengeren Anforderungen an Vertragsfairness gegenüber. Anders als die DSGVO, die in vielen KMU bereits Routine ist, bleibt der Data Act ein blinder Fleck – mit echten Compliance-Risiken.
- Rechtsgrundlage: Verordnung (EU) 2023/2854 vom 13. Dezember 2023 (Data Act)
- Anwendbar seit 12. September 2025, direkt geltend ohne nationale Umsetzung
- Vier Kernbereiche: IoT-Datenzugang (Art. 3-5), B2B-Datenweitergabe (Art. 8-12), faire Vertragsbedingungen (Art. 13), Cloud-Anbieterwechsel (Art. 23-32)
- Cloud-Switching: schrittweise Reduktion der Wechselgebühren, vollständiger Wegfall ab 12. Januar 2027
- IoT-Hersteller: Nutzer erhalten Recht auf Maschinen- und Sensordaten, müssen Daten auch an Drittparteien weiterleiten lassen
- Faire B2B-Klauseln: missbräuchliche Vertragsklauseln in standardisierten Verträgen unwirksam (Art. 13)
- Mikrounternehmen und Kleinunternehmen sind teilweise befreit (Art. 7)
- B2G-Datenzugang: Behörden können in Notlagen private Datensätze anfordern (Art. 14-22)
- Sanktionen werden von Mitgliedstaaten festgelegt, in Österreich erfolgt die Vollziehung über das BMK
- Modellvertragsklauseln (SCC) der Kommission unterstützen die praktische Umsetzung
Was der Data Act regelt
Der Data Act ergänzt den 2018 in Kraft getretenen Data Governance Act und schafft einen einheitlichen Rechtsrahmen für den Zugang zu und die Nutzung von Daten innerhalb der EU. Anders als die DSGVO, die personenbezogene Daten schützt, fokussiert der Data Act auf nicht-personenbezogene Daten – vor allem Maschinen-, Sensor- und Industriedaten – und auf das Zusammenspiel zwischen Cloud-Anbietern, Datennutzern und Datenerzeugern.
Vier Kapitel sind für Selbstständige relevant: Zugang zu IoT-Daten (Kapitel II), Datenweitergabe zwischen Unternehmen (Kapitel III), missbräuchliche Vertragsklauseln (Kapitel IV) und Wechsel zwischen Datenverarbeitungsdiensten, also Cloud-Anbietern (Kapitel VI). Ergänzend regelt der Data Act den Datenzugang öffentlicher Stellen in Notsituationen (Kapitel V) und die Interoperabilität von Datenräumen (Kapitel VIII).
IoT-Datenzugang: was Hersteller vernetzter Produkte umsetzen müssen
Artikel 3 verpflichtet Hersteller von vernetzten Produkten und Anbieter verbundener Dienste, die durch Produktnutzung erzeugten Daten standardmässig zugänglich zu machen. „Vernetztes Produkt“ ist jede Sache, die Daten erzeugt und über einen elektronischen Kommunikationsdienst oder eine physische Verbindung übertragen kann – vom Smart-Home-Thermostat über vernetzte Land- und Baumaschinen bis zur Industrie-4.0-Sensorik.
Konkret muss der Hersteller drei Dinge sicherstellen:
- Bei Kauf, Miete oder Leasing müssen Nutzer über Art und Umfang der erzeugten Daten informiert werden – Art, Format, Übertragungsfrequenz, Speicherdauer (Art. 3 Abs. 2)
- Der Nutzer erhält direkten Zugang zu „seinen“ Daten, unkompliziert und kostenlos (Art. 4)
- Auf Verlangen des Nutzers müssen Daten an Drittparteien weitergegeben werden, etwa unabhängige Werkstätten oder Datenanalyse-Anbieter (Art. 5)
Für österreichische KMU im Maschinenbau, in der Sensorik, im Smart-Building-Bereich oder bei vernetzten Verbrauchsgeräten heisst das: Schnittstellen, Datenformate und Zugriffsmechanismen müssen designed werden. Die Verordnung schreibt keine konkrete API vor, fordert aber Interoperabilität und gängige, maschinenlesbare Formate.
Artikel 7 sieht eine wichtige Erleichterung vor: Mikro- und Kleinunternehmen (unter 50 Mitarbeiter und unter 10 Mio. € Jahresumsatz) sind als Inhaber der Daten von den Pflichten aus Art. 3-6 ausgenommen, wenn sie das Produkt selbst gestaltet haben und nicht in einer Vertragsbeziehung mit einem grösseren Unternehmen stehen, das auf den Datenzugang besteht. Die Erleichterung ist allerdings eng – sobald ein grösseres Partnerunternehmen im Lieferketten-Konstrukt involviert ist, greift die Pflicht in vollem Umfang.
Cloud-Wechsel ohne Egress-Gebühren
Der für viele Selbstständige spürbarste Teil des Data Act regelt den Wechsel zwischen Datenverarbeitungsdiensten (Art. 23-32). Gemeint sind Cloud-Anbieter, SaaS-Plattformen, Datenspeicher und ähnliche Dienste. Anbieter müssen ihren Kunden seit 12. September 2025 ermöglichen, ihre Daten und digitalen Assets auf einen anderen Anbieter zu übertragen, ohne unverhältnismässige Hürden.
Die Wechsel-Kosten – im Branchenjargon „Egress-Fees“ oder „Data Transfer Charges“ – werden gestaffelt reduziert: Übergangsweise bis 11. Januar 2027 dürfen Cloud-Anbieter Wechselgebühren erheben, die maximal die tatsächlichen Kosten des Wechsels decken. Ab 12. Januar 2027 dürfen für reguläre Wechsel keine Gebühren mehr erhoben werden (Art. 29).
Das ist eine deutliche Veränderung gegenüber der bisherigen Praxis. AWS, Microsoft Azure und Google Cloud haben Egress-Fees historisch als Lock-in-Mechanismus genutzt – Bandbreite-Charges in Höhe von mehreren tausend Euro für einen Mid-Size-Workload waren keine Seltenheit. Mit dem Data Act fallen diese ökonomischen Wechselhürden weg.
Cloud-Anbieter müssen zusätzlich:
- Standardvertragsklauseln zum Wechsel in ihre Verträge aufnehmen (Art. 25)
- Wechselprozesse innerhalb von 30 Tagen abwickeln, mit zusätzlicher 30-Tage-Frist auf Kundenwunsch (Art. 25 Abs. 2)
- Funktionsäquivalenz beim Wechsel sicherstellen – exportierte Daten und Konfigurationen müssen beim neuen Anbieter funktional rekonstruierbar sein
- Bei IaaS-Wechseln innerhalb dieselben Cloud-Anbieter-Klasse die Funktionsäquivalenz aktiv unterstützen, bei PaaS- und SaaS-Wechseln zumindest Datenexport in maschinenlesbaren, strukturierten Formaten ermöglichen
Für österreichische KMU als Cloud-Kunden bedeutet das mittelfristig: bessere Verhandlungsposition, niedrigere Wechselkosten, ehrlicheres Pricing. Wer Anbieterverträge ab 2026 neu verhandelt, sollte die neuen Vertragsklauseln aktiv einfordern und Übergangsregelungen nutzen.
Faire B2B-Vertragsklauseln
Artikel 13 ist der vielleicht meistunterschätzte Teil des Data Act. Er führt eine AGB-Inhaltskontrolle für B2B-Verträge über Datenzugang und Datennutzung ein – ein Bereich, in dem die UGB- und ABGB-Inhaltskontrolle bisher zurückhaltend war.
Eine in einem B2B-Vertrag einseitig auferlegte Klausel ist nach Art. 13 unwirksam, wenn sie missbräuchlich ist. Missbräuchlich ist eine Klausel, die in offensichtlichem Widerspruch zur guten Geschäftspraxis bei Datenzugang und Datennutzung steht. Die Verordnung enthält drei „schwarze Listen“ und „graue Listen“ von Klauseln, die per se oder vermutungsweise missbräuchlich sind:
- Schwarze Liste (Art. 13 Abs. 3): immer unwirksam, etwa der Ausschluss der Haftung für Vorsatz, einseitige Auslegungsrechte einer Partei, einseitige Änderungsrechte ohne Kündigungsmöglichkeit
- Graue Liste (Art. 13 Abs. 4): widerlegliche Vermutung der Missbräuchlichkeit, etwa unangemessen kurze Antwortfristen, fehlende Kopiermöglichkeiten der Daten, einseitige Beendigungsrechte ohne sachlichen Grund
Die Inhaltskontrolle greift in B2B-Verträgen, in denen eine Partei die Vertragsbedingungen einseitig stellt und die andere keine echte Verhandlungsmöglichkeit hat. In der Praxis: Standardverträge von SaaS-Anbietern, Cloud-Plattformen, Datenraum-Betreibern, IoT-Plattformen. Wer als Selbstständiger solche Verträge nutzt, sollte seine eigenen AGB prüfen und Standardverträge der Anbieter genauer lesen – manch aggressive Klausel ist seit September 2025 schlicht unwirksam.
Behördlicher Datenzugang in Notlagen
Kapitel V (Art. 14-22) erlaubt Behörden, in „aussergewöhnlichen Notwendigkeiten“ Daten aus Privatbesitz anzufordern. Anwendungsfälle sind Pandemien, Naturkatastrophen, Cyberangriffe von erheblicher Tragweite. Die Anforderung muss verhältnismässig, zeitlich begrenzt und sektoral relevant sein. Datenbereitstellung ist grundsätzlich entgeltlich, ausser bei akuten Notfällen.
Für österreichische Selbstständige ist dieses Kapitel selten direkt relevant – es richtet sich primär an Plattformen und grosse Datenhalter. Wer aber als Lieferant grosser Datenhalter agiert (z.B. Verkehrsdaten, Energie-Verbrauchsdaten), sollte die Mechanik kennen.
Was Selbstständige jetzt prüfen sollten
Sechs Schritte, geordnet nach Dringlichkeit:
1. Cloud- und SaaS-Verträge sichten. Welche Anbieter habe ich? Welche Egress-Fees sind vereinbart? Welche Kündigungsfristen? Eine Liste aller laufenden Cloud-Verträge mit Ablaufdatum und Wechselhürden ist die Grundlage für jede Optimierung.
2. Wechsel-Szenarien durchrechnen. Was würde ein Wechsel des aktuellen Hosting-Stacks heute kosten, was 2027? Mit dem Wegfall der Egress-Fees verschiebt sich die wirtschaftliche Logik vieler Cloud-Architekturen. Multi-Cloud und Vendor-Diversifizierung werden günstiger.
3. Bei IoT-Produkten Datenarchitektur planen. Wer vernetzte Produkte vertreibt oder herstellt, muss spätestens jetzt die Datenarchitektur überdenken. APIs für Nutzer- und Drittparteien-Zugang, Datenformat-Standards, Informationsblätter für Käufer zu erzeugten Daten.
4. Standardverträge auditieren. Sowohl eigene B2B-AGB als auch Verträge mit Anbietern auf missbräuchliche Klauseln im Sinne von Art. 13 prüfen. Die Modellvertragsklauseln (SCC) der EU-Kommission sind ein guter Ausgangspunkt.
5. Mikrounternehmen-Status dokumentieren. Wer sich auf die Erleichterung nach Art. 7 berufen will, sollte Schwellen-Nachweise vorhalten: Mitarbeiterzahl in JAE, Jahresumsatz, Bilanzsumme. Verbundene Unternehmen müssen zusammengerechnet werden.
6. Compliance-Verantwortung benennen. Wer im Unternehmen ist für Data-Act-Compliance zuständig? IT, Legal, Geschäftsführung? Eine klare Zuständigkeit erspart später Reibungsverluste bei Behördenanfragen oder Vertragsverhandlungen.
Kosten und Aufwand realistisch eingeordnet
Anhaltspunkte aus aktueller Beratungspraxis, Stand Mai 2026:
- Cloud-Vertragsaudit für KMU mit 5-15 Anbietern: 2.000 bis 5.000 Euro externe Beratung
- IoT-Datenarchitektur-Konzept für ein vernetztes Produkt: 8.000 bis 25.000 Euro je nach Komplexität
- API-Implementierung Datenzugang Nutzer und Drittparteien: 15.000 bis 60.000 Euro Entwicklungsaufwand
- Vertragsklausel-Review für B2B-Standardverträge: 1.500 bis 4.000 Euro juristische Beratung
- Inhouse-Aufbau Data-Act-Compliance: 40 bis 100 Stunden Einarbeitung, danach 10 bis 30 Stunden pro Quartal laufende Pflege
Wer kein IoT-Geschäftsmodell hat und keine SaaS-Standardverträge anbietet, beschränkt sich auf das Cloud-Vertragsaudit und die Wechsel-Vorbereitung. Das ist mit überschaubarem Aufwand zu erledigen.
Häufige Fragen zum EU Data Act
Gilt der Data Act auch für reine Software-as-a-Service-Anbieter?
Ja, vollumfänglich. SaaS-Anbieter sind Anbieter von Datenverarbeitungsdiensten im Sinne von Art. 2 Nr. 8 und unterliegen den Wechselregelungen aus Kapitel VI. Die Pflicht zum gebührenfreien Wechsel ab 2027 gilt auch hier.
Sind WhatsApp, Slack oder Zoom betroffen?
Sie sind als Datenverarbeitungsdienste erfasst. Die Wechselrechte gelten formal auch für Kommunikationsplattformen, in der Praxis ist Funktionsäquivalenz beim Wechsel zwischen Messaging-Diensten allerdings begrenzt. Datenexport in strukturierter Form ist sicher umzusetzen.
Was bedeutet die Verordnung für Werkstätten und Drittwartung?
Bei vernetzten Fahrzeugen, Maschinen und Geräten haben Nutzer das Recht, Daten an unabhängige Werkstätten oder Wartungsdienstleister freizugeben. Hersteller dürfen Drittwartung nicht durch Datenzugriffshürden behindern. Das ist eine erhebliche Stärkung der unabhängigen Aftermarket-Anbieter.
Gibt es eine Übergangsfrist für bestehende IoT-Produkte am Markt?
Die Hauptpflichten gelten seit 12. September 2025. Eine pauschale Schonfrist für „Altbestände“ gibt es nicht. Für Produkte, die nach diesem Datum in Verkehr gebracht werden, sind die Anforderungen sofort verbindlich. Bei bereits in Umlauf befindlichen Geräten greift faktisch eine Bestandsschutz, weil rückwirkende Hardware-Änderungen nicht zumutbar sind.
Wer setzt den Data Act in Österreich durch?
Zuständig ist im Wesentlichen das Bundesministerium für Klimaschutz, Umwelt, Energie, Mobilität, Innovation und Technologie (BMK) gemeinsam mit der Telekom-Control-Kommission (TKK) und der Datenschutzbehörde, je nach Sachbereich. Die konkreten österreichischen Vollziehungsregeln ergeben sich aus dem Daten-Verordnungs-Vollzugsgesetz, das parallel zur Verordnung verabschiedet wurde.
Wie hoch sind die Strafen?
Die Verordnung selbst legt keine konkreten Höchstbeträge fest, sondern überlässt die Sanktionierung den Mitgliedstaaten (Art. 40). Sie müssen „wirksam, verhältnismässig und abschreckend“ sein. In Österreich richten sich die Strafen nach dem nationalen Vollziehungsgesetz, in vergleichbaren EU-Verordnungen sind Bussen bis 20 Mio. Euro oder Prozentsätze des Jahresumsatzes vorgesehen.
Müssen wir alle bestehenden Verträge neu verhandeln?
Nein. Bestehende Verträge bleiben grundsätzlich gültig, missbräuchliche Klauseln nach Art. 13 sind jedoch von Beginn an unwirksam. Bei Anbieterwechselregelungen nach Kapitel VI gibt es Übergangsfristen, deren konkrete Anwendung im Einzelvertrag zu prüfen ist.