Was der EU Data Act für Maschinenbauer bedeutet

EU Data Act zwingt Maschinenbauer zum Umdenken

Was der EU Data Act für uns Maschinenbauer bedeutet, wird spätestens bei Inkrafttreten am 12. September 2025 klar: Nutzerinnen und Nutzer vernetzter Produkte und verbundener Dienste erhalten einen gesetzlichen Anspruch auf sämtliche Daten, die bei der Nutzung anfallen. Das betrifft insbesondere produktionsnahe Maschinen und Anlagen, wie sie im industriellen Umfeld täglich im Einsatz sind. Damit wird der Zugang zu Maschinendaten nicht länger ein freiwilliger Service des Herstellers, sondern eine rechtlich geregelte Pflicht.

Unternehmen müssen sich darauf vorbereiten, technische Schnittstellen bereitzustellen, vertragliche Regelungen zu prüfen und neue Geschäftsmodelle zu entwickeln, die mit dem offenen Datenzugang umgehen können – ohne dabei den eigenen Wettbewerbsvorteil zu verlieren. Der EU Data Act ist ein Gamechanger für die Branche. Wer jetzt handelt, kann nicht nur rechtliche Risiken minimieren, sondern auch neue Potenziale heben – etwa durch datengetriebene Services, effizientere Wartung oder innovative Partnerschaften entlang der Wertschöpfungskette.

Produkte als intelligente Datenquellen

Vernetzte Produkte sind mehr als bloße Werkzeuge: Sie sind intelligente Datenquellen. Laut Artikel 2 Nr. 5 der Data Act-Verordnung (DA) sind es Gegenstände, die Informationen über ihre Nutzung oder Umgebung erfassen und übermitteln können. Das Spektrum reicht von Alltagsgegenständen wie Smartwatches bis hin zu hochkomplexen Industrieanlagen.

Im industriellen Kontext bedeutet das: Maschinen, Sensoren und Anlagen werden mit Software, Netzwerktechnologie und IoT-Komponenten ausgestattet, die Betriebsdaten in Echtzeit erfassen, analysieren und weitergeben können – etwa an Cloud-Plattformen, ERP-Systeme oder digitale Services. „Maschinenbauunternehmen haben inzwischen zahlreiche auch digitale Lösungen und Angebote in ihrem Produktportfolio. Dabei handelt es sich häufig um sogenannte verbundene Dienste“, sagt Salome Peters, VDMA, Rechtsanwältin (Syndikusrechtsanwältin), Digitalrecht & Datenschutzrecht, IT-Recht.

Im Fokus: Produktdaten und verbundene Dienstdaten

„Maschinen- und Anlagenbauer werden als Hersteller und Anbieter solcher Produkte und Dienste durch den Data Act dazu verpflichtet, die Daten, die während der Nutzung entstehen, an die Nutzer herauszugeben“, so Salome Peters weiter. Ab dem 12.09.2026 werden Hersteller vernetzter Produkte und Anbieter verbundener Dienste darüber hinaus dazu verpflichtet, einen Direktzugriff auf die Daten zu ermöglichen (vgl. Art. 3 DA). Dazu kommen extensive Informationspflichten über den Umfang der Daten etc. (vgl. Art. 3 Abs. 2 und 3 DA).

Zudem müssen die Maschinenbauer genau wissen, welche Daten laut Data Act künftig herausgegeben werden müssen. Im Fokus stehen sogenannte Produktdaten und verbundene Dienstdaten – also Informationen, die durch die Nutzung vernetzter Produkte entstehen und die digitale Abbildung von Nutzerhandlungen und -prozessen darstellen (vgl. Art. 2 Nr. 15 DA & 16 DA). Herauszugeben sind dabei nur Roh- und vorverarbeitete Daten, also jene Datensätze, die entweder unbearbeitet oder lediglich verständlich aufbereitet wurden. Welche Daten genau betroffen sind, hängt immer vom konkreten Produkt oder Dienst ab – hier ist eine sorgfältige Einzelfallprüfung nötig.

EU Data Act zwingt Industrie zu Risiko-Update

Es gibt auch eine Reihe strategischer Herausforderungen ein, die mit der Umsetzung des Data Acts einhergehen. Unternehmen, die vernetzte Produkte herstellen oder entsprechende Dienste anbieten, sollten umgehend prüfen, ob und in welchem Umfang die neuen Vorgaben auf sie zutreffen. Zentral ist dabei nicht nur die rechtliche Bewertung, sondern auch ein Update des Risikomanagements – insbesondere im Hinblick auf mögliche Sanktionen und wirtschaftliche Folgen.

Experten raten: Frühzeitig informieren, alle relevanten Rollen einbinden und bestehende Geschäftsmodelle, Verträge sowie laufende Projekte auf ihre Vereinbarkeit mit der Verordnung hin durchleuchten. „Das Schaffen technischer Voraussetzungen ist ein essenzieller und unausweichlicher Schritt, um den Anforderungen der Verordnung gerecht zu werden und Daten in der geforderten Art und Weise bereitstellen zu können“, erläutert Maximilian Wagner, VDMA, Projektleiter Projekt SM4RTENANCE (Multilateral European Data Spaces).

„Auf dieser Basis sind Gestaltungs- und Umsetzungsprojekte möglich, um Geschäftsmodelle, Produkte oder Dienste konform zur Verordnung anzupassen oder neu zu gestalten. Auch die Entwicklung eines Data Governance Modells ist ein wichtiger Schritt“, so Wagner weiter. Hierbei handelt es sich um ein Rahmenwerk oder eine Struktur, in der definiert wird, wie Daten innerhalb einer Organisation verwaltet, organisiert, gesichert und genutzt werden. Zur Unterstützung der Geschäftsziele und Einhaltung gesetzlicher Vorschriften werden Regeln, Richtlinien, Prozesse und Verantwortlichkeiten festgelegt, um eine effektive Nutzung und den Schutz der Daten sicherzustellen.

OPC UA sichert Datensouveränität in der Industrie

Maschinen- und Anlagenbauer sollten zeitnah technische und organisatorische Maßnahmen ergreifen, um Datensouveränität und Datenschutz beim Einsatz vernetzter Produkte sicherzustellen. Auf technischer Ebene empfiehlt sich insbesondere der Einsatz interoperabler Schnittstellenstandards wie OPC UA samt passender Companion Specifications. Der IEC-Standard OPC UA bietet eine sichere Kommunikationsarchitektur mit integrierter Transportschicht, Informationsmodellierung und einem umfassenden Security-Framework. Dieses erlaubt unter anderem die Nutzung moderner Verschlüsselungstechnologien, rollenbasiertes Zugriffsmanagement sowie Zertifikats- und Authentifizierungsverfahren.

Entscheidend für den Schutz sensibler Daten: Der konsequente Verzicht auf veraltete Sicherheitsmechanismen zugunsten aktueller, bewährter Verfahren, dazu Maximilian Wagner: „Der Zugang zu Daten sollte immer eindeutig geregelt und auf autorisierte Nutzer beschränkt sein, um unbefugte Zugriffe auszuschließen. Zukünftig können ebenfalls dezentrale Datenökosysteme, so genannte Datenräume wie sie aktuell in der ISO/IEC AWI 20151 beschrieben werden, für den vertrauensvollen Datenaustausch genutzt werden.“

Praxisnahe Initiativen wie Manufacturing-X arbeiten in verschiedenen geförderten Projekten an der Umsetzung des EU Data Act. Entlang konkreter Anwendungsfälle wird hier erprobt, wie sich die Anforderungen der Verordnung in industriellen Datenräumen praktisch umsetzen lassen. Solche Initiativen liefern wertvolle Erkenntnisse für Unternehmen, die ihre Dateninfrastrukturen fit für die neuen gesetzlichen Rahmenbedingungen machen wollen.

Datenschutz braucht klare Verantwortung

Organisatorisch braucht es klare Data-Governance-Modelle und wirksame Mechanismen zum Schutz von Betriebs- und Geschäftsgeheimnissen. Unternehmen sollten zudem prüfen, wie sich Datenansprüche konkret durchsetzen lassen. Ein zentraler Erfolgsfaktor bleibt die Sensibilisierung der Mitarbeitenden – durch regelmäßige Schulungen zu Sicherheitsmechanismen sowie durch die enge Zusammenarbeit mit Datenschutzbeauftragten und IT-Sicherheitsverantwortlichen. Wer sich frühzeitig vorbereitet, kann von Beginn an aktiv an industriellen Datenräumen teilnehmen. Hilfestellung bieten Projekte wie das Transferprojekt SCALE-MX im Rahmen der Manufacturing-X-Initiative, das bereits erste Handlungsempfehlungen in einer Informationsbroschüre zusammengefasst hat – demnächst abrufbar auf scale-mx.org.

OPC UA: Der Schlüssel zur smarten Vernetzung

Ein zentrales Element für die Interoperabilität im industriellen Datenraum ist der Einsatz standardisierter Schnittstellen – allen voran OPC UA mit seinen Companion Specifications. Die nach IEC 62541 genormte Kommunikationsarchitektur ermöglicht eine sichere, zuverlässige und herstellerunabhängige Vernetzung von Maschinen und Systemen. Neben dem reinen Datenaustausch erlaubt OPC UA auch die strukturierte Modellierung und semantische Beschreibung von Informationen – ein entscheidender Baustein für die Datenökosysteme der Zukunft. Besonders aktiv ist hier der VDMA, der über 40 Arbeitskreise mit mehr als 700 Unternehmen koordiniert.

Das Ergebnis: Über 60 Companion Specifications, die standardisierte Schnittstellen für verschiedenste Anwendungsfälle im Maschinen- und Anlagenbau definieren. Dabei wird zwischen drei Modellen unterschieden: Die Basisspezifikation „OPC UA for Machinery“ (OPC 40001) ist domänenübergreifend einsetzbar, branchenspezifische Companion Specifications adressieren konkrete Sektoren, während herstellerspezifisch erweiterte Informationsmodelle auf individuelle Funktionen und Know-how einzelner Anbieter zurückgreifen.

Dazu Maximilian Wagner: „Da die Daten somit an ihrer Entstehungsquelle definiert und durchgehend sowie einheitlich übertragen werden, kann Interoperabilität zwischen Maschinen, Anlagen und verschiedenen Softwarelösungen sichergestellt werden.“ Der Einsatz von OPC UA mit Companion Specifications biete gleichzeitig eine effiziente Möglichkeit, um die technischen Voraussetzungen für einen erfolgreichen Umgang mit der EU-Datenverordnung zu schaffen, da die wesentlichen Informationen in offen verfügbaren Informationsmodellen strukturiert und abrufbar seien.

Daten sicher, kontrolliert und nutzbringend austauschen

Auch bei der unternehmens- und länderübergreifenden Interoperabilität setzt die Manufacturing-X-Initiative Maßstäbe. In ihren Projekten werden gemeinsam entwickelte Standards, Semantiken und Ontologien erprobt, die das multilaterale Teilen von Daten über Maschinen, Anlagen und Softwarelösungen hinweg ermöglichen sollen. Ziel ist es, übergreifende Datenräume zu schaffen, in denen Daten sicher, kontrolliert und nutzbringend ausgetauscht werden können. Erste Lösungen für diesen interoperablen Datenaustausch werden in Kürze verfügbar sein – ein entscheidender Schritt auf dem Weg zu einer vernetzten Industrie.

Neue Datenwelt, neue Investitionspflichten

Welche konkreten Investitionen in Software, Datenmanagement und IT-Sicherheit künftig erforderlich sind, lässt sich derzeit nicht pauschal beantworten – zu dynamisch ist die technologische Entwicklung rund um den EU Data Act. Was aber klar ist: Unternehmen müssen ihre Strategien an den Fortschritt in Bereichen wie interoperable Schnittstellenstandards, Datenrauminitiativen wie Gaia-X und die International Data Spaces Association sowie an nationale Förderprogramme wie Manufacturing-X oder IPCEI CIS anpassen. Entscheidend bleiben dabei individuelle Faktoren wie Branche, Größe, Geschäftsmodell und bestehende IT-Infrastruktur. Jede Investition sollte deshalb auf Basis fundierter Risiko- und Bedarfsanalysen erfolgen und in eine maßgeschneiderte IT-Strategie eingebettet sein.

Welche Rolle IoT-Plattformen und digitale Schnittstellen für die Einhaltung der Vorgaben spielen, weiß Maximilian Wagner: „Interoperable Schnittstellenstandards - wie OPC UA mit Companion Specifications - spielen wie schon oben beschrieben eine zentrale Rolle. Der Einsatz von OPC UA mit Companion Specifications bietet eine effiziente Möglichkeit, um die technischen Voraussetzungen für einen erfolgreichen Umgang mit der EU-Datenverordnung zu schaffen, da die wesentlichen Informationen in offen verfügbaren Informationsmodellen strukturiert und abrufbar sind.“ Über solche Schnittstellen könnten letztlich auch IoT-Plattformen adressiert und einheitlich in die Kommunikation eingebunden werden.

Geheimnisse unter Druck – und doch geschützt

Ein sehr wichtiger Aspekt ist der Datenschutz: Wie können Geschäftsgeheimnisse und geistiges Eigentum trotz der neuen Datenzugriffsrechte geschützt werden? Dazu nochmals Salome Peters: „Der Data Act verbietet explizit, dass die Daten vom Nutzer oder einem Dritten zur Entwicklung eines Konkurrenzprodukts genutzt werden dürfen (vgl. Art. 4 Abs. 10, Art. 6 Abs. 2 Buchstabe e. DA). Geschäftsgeheimnisse sollen nur offengelegt werden müssen, wenn vom Dateninhaber und vom Nutzer Maßnahmen getroffen worden sind, die erforderlich sind, um die Vertraulichkeit der Geschäftsgeheimnisse zu wahren.“ Der Dateninhaber soll zu diesem Zweck mit dem Nutzer angemessene technische und organisatorische Maßnahmen vereinbaren, die erforderlich sind, um die Vertraulichkeit der weitergegebenen Daten zu wahren (vgl. Art. 4 Abs. 6 DA).

Klar ist also, dass der Schutz von Geschäftsgeheimnissen im Kontext des Data Acts ein besonders sensibles Thema ist: Wird keine Einigung erzielt, setzt der Nutzer erforderliche Schutzmaßnahmen nicht um oder verletzt die Vertraulichkeit, kann der Dateninhaber die Weitergabe entsprechender Daten verweigern oder aussetzen – die sogenannte ‚Trade Secret Handbrake‘. Diese Schutzklausel greift bei Daten, die als Geschäftsgeheimnisse klassifiziert sind. In solchen Fällen ist die zuständige Aufsichtsbehörde zu informieren (vgl. Art. 4 Abs. 7 und 8 DA), die letztlich darüber entscheidet, ob eine Datenweitergabe dennoch erfolgen muss. Ein klares Signal: Der Schutz sensibler Unternehmensdaten bleibt auch unter dem Data Act gewährleistet – sofern die Verfahren korrekt eingehalten werden.

Wissen, was die Industrie bewegt!

Alles zu Industrie 4.0, Smart Manufacturing und die ganze Welt der Technik.

Newsletter gratis bestellen!

Data Act krempelt Geschäftsmodelle um

Der Data Act zwingt viele Unternehmen dazu, ihre Geschäftsmodelle und Verträge grundlegend zu überdenken. Produktdaten und verbundene Dienstdaten müssen ab dem 12. September 2025 kostenlos bereitgestellt werden – wer bislang ein Entgelt dafür verlangt hat, muss dieses Modell aufgeben. Gleichzeitig dürfen Dateninhaber diese Daten nur noch auf Basis eines expliziten Vertrags mit den Nutzer (vgl. Art. 4 Abs. 13 DA) verwenden.

Das bedeutet: Es braucht nicht nur neue Vertragswerke, sondern auch Anpassungen bestehender Vereinbarungen sowie eine Überarbeitung der vorvertraglichen Informationen(vgl. Art 3 Abs. 2 & 3 DA). Für zusätzliche Orientierung sorgt künftig die EU-Kommission – sie wird laut Art. 41 DA Mustervertragsklauseln zur Verfügung stellen, um Unternehmen bei der rechtssicheren Umsetzung zu unterstützen.

Compliance-Schock: Wie sich Data-Act-Vorgaben effizient umsetzen lassen

Die gestiegenen Compliance- und Sicherheitsanforderungen durch den EU Data Act stellen viele Unternehmen im Maschinen- und Anlagenbau vor große Herausforderungen – organisatorisch wie bürokratisch. Entscheidend ist deshalb ein strukturiertes Vorgehen: Verantwortlichkeiten müssen klar definiert, Prozesse angepasst und neue Rollen – etwa für das Datenmanagement – etabliert werden. Der Aufbau von interdisziplinären Teams, die rechtliche, technische und operative Perspektiven vereinen, kann dabei helfen, die Anforderungen effizient umzusetzen.

Zudem sollten Unternehmen in digitale Werkzeuge investieren, um Datenflüsse transparent zu machen, Berechtigungen zu steuern und die Einhaltung der neuen Vorgaben zu dokumentieren. Wer frühzeitig beginnt und die Umsetzung als strategisches Projekt versteht, kann die neuen Regeln nicht nur erfüllen, sondern daraus auch Wettbewerbsvorteile ziehen.

„Unternehmen müssen also ihr gesamtes Produkt- und Serviceportfolio analysieren und evaluieren, mit welchen Produkten und Diensten sie unter den EU Data Act fallen“, bilanziert Rechtsanwältin Salome Peters. „Sie müssen prüfen, welche Daten bei der Nutzung ihrer Produkte und Dienste anfallen und inwiefern diese Daten unter den EU Data Act fallen oder nicht. Es muss also eine Art Datenklassifizierung vorgenommen werden. Um die Übersicht zu behalten, können Unternehmen eine sogenannte Data Governance Struktur etablieren.“

überarbeitet von: Dietmar Poll