Der EU Data Act (Verordnung (EU) 2023/2854) ist das bedeutendste datenpolitische Gesetz für den europäischen Maschinenbau seit Jahren. Er schafft Rechte und Pflichten rund um Daten, die von vernetzten Geräten und Maschinen erzeugt werden – und betrifft damit direkt jeden Maschinenhersteller, der vernetzte Produkte in der EU verkauft oder betreibt.
Die Kernfrage: Dateneigentümerschaft
Der Data Act vermeidet absichtlich den Begriff „Dateneigentümer" (da Daten nach EU-Recht nicht eigentumsfähig sind), schafft aber faktisch ein Zugangsrecht: Nutzer (in der Maschinenbau-Terminologie: Betreiber) haben das Recht, auf Daten zuzugreifen, die durch ihre Nutzung eines vernetzten Produkts generiert wurden. Hersteller des Produkts sind verpflichtet, diesen Zugang zu gewähren.
Praktisches Beispiel: Ein Betreiber kauft eine vernetzte Druckmaschine vom Hersteller. Der Hersteller leitet Produktionsdaten in seine eigene Cloud-Plattform und bietet dem Betreiber ein Analyse-Dashboard. Unter dem Data Act hat der Betreiber nun das Recht, diese Rohdaten direkt abrufen und an Drittanbieter (z. B. einen unabhängigen Wartungsdienstleister) weitergeben zu können.
Pflichten für Maschinenhersteller
Konkret bedeutet der Data Act für Maschinenhersteller folgende Verpflichtungen (Art. 3–6 Data Act):
- Vorabinformation: Vor dem Kauf muss der Hersteller transparent machen, welche Daten die Maschine erzeugt, wer darauf Zugriff hat und wie sie genutzt werden.
- Datenzugang auf Anfrage: Nutzer können jederzeit einfachen, sofortigen Zugang zu ihren Daten verlangen – in einem strukturierten, maschinenlesbaren Format.
- Weitergabe an Dritte: Nutzer können den Hersteller anweisen, Daten an einen benannten Dritten (Wartungsdienstleister, Marktplatz) zu übertragen.
- Keine Benachteiligung: Der Hersteller darf Nutzer nicht benachteiligen, wenn diese von ihrem Datenzugangsrecht Gebrauch machen.
Auswirkungen auf Cloud-Architekturen
Der Data Act zwingt Maschinenhersteller, ihre Cloud-Architekturen umzugestalten. Ein geschlossenes proprietäres System, das Daten nur intern verarbeitet, ist nicht mehr compliant. Notwendige Maßnahmen:
- Data-Export-API: Standardisierte API (REST, MQTT) für den Datenabruf durch Betreiber in einem offenen Format (JSON, CSV, AASX)
- Zugangskontrolle: Betreiber-Portal für die Verwaltung von Datenzugängen und Drittanbieter-Autorisierungen
- Portabilität: Art. 23–29 Data Act regeln Cloud-Wechsel-Rechte: Wer auf einer Herstellercloud läuft, muss die Möglichkeit erhalten, zu einem anderen Cloud-Anbieter zu wechseln
Durchsetzung und Sanktionen
Mitgliedstaaten benennen nationale Behörden zur Durchsetzung des Data Act. Sanktionen für Verstöße liegen im Ermessen der Mitgliedstaaten, müssen aber wirksam, verhältnismäßig und abschreckend sein. Deutschland hat das BSI als mögliche koordinierende Stelle benannt. Im Zusammenspiel mit der DSGVO (personenbezogene Daten) und dem Cyber Resilience Act ergibt sich ein umfassendes digitales Regulierungspaket.
Handlungsbedarf prüfen: Wenn Sie als Maschinenhersteller Kunden-Maschinendaten in Ihren eigenen Cloud-Systemen speichern oder verarbeiten, besteht Handlungsbedarf zur Herstellung von Data-Act-Compliance. Die Verwaltungsschale (AAS) bietet einen standardisierten technischen Rahmen dafür (→ RAMI 4.0 & AAS).