22.04.2025

Data Act & IoT-Daten: So schützen Hersteller ihre Geschäftsmodelle

Der EU Data Act verpflichtet Hersteller von IoT-Produkten, den Zugriff auf die von ihren Geräten generierten Daten zu ermöglichen. Unternehmen stellt dies nicht nur vor technischen Herausforderungen, sondern sie müssen auch ihre geschäftlichen Interessen gegen potenzielle Datenverpflichtungen absichern. Daher stellt sich die Frage: Welche rechtlichen und strategischen Hebel können Hersteller und Dateninhaber nutzen, um Nutzerrechte zu „begrenzen“, ohne gegen den Data Act zu verstoßen?

Unverbindliches Erstgespräch vereinbaren

Autor:in
Roman von der Heide
Rechtsanwalt, Associated Partner, Fachanwalt für Informationstechnologierecht

Inhalt

Vertragsgestaltung: Steuerung der Datenfreigabe über AGB und Lizenzvereinbarungen

Ein effektiver Weg, die Kontrolle über IoT-Daten zu behalten, kann die vertragliche Regelung des Datenzugangs sein. Zwar sieht der Data Act eine Pflicht zur Datenbereitstellung vor, doch Unternehmen können durch detaillierte AGB und Lizenzbedingungen Einschränkungen definieren:

Einschränkung der Nutzung von freigegebenen Daten: Hersteller können vertraglich festlegen, dass Nutzer zwar Zugriff auf ihre IoT-Daten erhalten, diese jedoch nicht an Konkurrenzunternehmen weitergeben dürfen oder dass bestimmte kommerzielle Nutzungen ausgeschlossen sind.
Regulierung des Datenabrufs: Der Data Act verlangt nicht zwingend eine sofortige und uneingeschränkte Datenverfügbarkeit. Hersteller können daher technische Schnittstellen (APIs) so gestalten, dass Nutzer Anfragen stellen müssen und nur in bestimmten Zeitfenstern Zugriff erhalten.
Datenformate und Bereitstellungskosten: Der Data Act schreibt zwar einen “fairen und nicht-diskriminierenden Zugang” vor, lässt aber Spielraum für die Berechnung angemessener Kosten für den Datenexport. Unternehmen können dies nutzen, um gebührenbasierte Modelle für den Zugriff auf Echtzeit-Daten einzuführen.

Beispiel: Maschinendaten bei vernetzten Industrieanlagen

Ein Anbieter vernetzter Industrieanlagen steht vor der Herausforderung, dass seine Kunden künftig Zugang zu den Maschinendaten erhalten müssen. Durch eine kluge Vertragsgestaltung könnte erreicht werden, dass Echtzeit-Daten kostenpflichtig sind, während historische Daten in bestimmten Intervallen bereitgestellt werden. So könnte die Kontrolle über den wirtschaftlichen Nutzen der Daten weitgehend beim Hersteller bleiben.

Geschäftsgeheimnisse als Schutzmechanismus nutzen

Der Data Act erlaubt es Unternehmen, den Datenzugang zu verweigern, wenn ein berechtigtes Interesse am Schutz von Geschäftsgeheimnissen besteht. Dies ist ein wesentlicher Hebel, um kritische Daten weiterhin unter Kontrolle zu behalten.

Daten selektiv als “unternehmenskritisch” einstufen: Unternehmen könnten in einigen Fällen argumentieren, dass bestimmte IoT-Daten (z. B. Algorithmen zur Energieeffizienz in Smart-Home-Systemen oder Fahrzeug-Telemetriedaten) ein Kernbestandteil ihres Geschäftsgeheimnisses sind.
Vertraulichkeitsvereinbarungen verlangen: Bevor ein Nutzer oder Drittanbieter Daten abrufen kann, konnte ein NDA (Non-Disclosure Agreement) vorgeschrieben werden.
Verschlüsselung und Zugriffskontrolle durchsetzen: Daten können nur in einer stark aggregierten oder anonymisierten Form bereitgestellt werden, um individuelle technische Details oder Geschäftsgeheimnisse zu verschleiern.

Beispiel: Sensordaten bei vernetzten Fahrzeugen

Ein Automobilhersteller will vermeiden, dass Drittanbieter Zugriff auf sämtliche Sensordaten seiner vernetzten Fahrzeuge erhalten. Durch eine gezielte Klassifizierung der Daten als “betriebsinternes Know-how” könnte man eine differenzierte Regelung schaffen, die nur bestimmte, nicht-kritische Fahrzeugdaten freigibt.

Newsletter

Alle wichtigen Neuigkeiten zu Themen wie Datenschutz, Künstliche Intelligenz, IT-Recht und vielen mehr – einmal monatlich in Ihr Postfach.

Technische Hürden und API-Steuerung zur Regulierung des Datenzugriffs

Der Data Act schreibt nicht vor, dass Unternehmen ihre Daten auf einem “Silbertablett” in einer perfekten Infrastruktur bereitstellen müssen. Vielmehr reicht es aus, dass der Zugriff “möglich” ist – dies eröffnet strategische Möglichkeiten:

Datenbereitstellung nur über bestimmte Schnittstellen (APIs): Unternehmen können sicherstellen, dass der Datenzugang nur über proprietäre oder komplexe technische APIs erfolgt, für die eine Lizenzierung oder Zertifizierung erforderlich ist.
Datenfreigabe mit Zeitverzug: Statt Echtzeit-Daten zu liefern, können Unternehmen zeitversetzte oder aggregierte Daten bereitstellen – eine Methode, um Wettbewerbsvorteile zu erhalten.
Datenexport in firmeneigenen Formaten: Falls der Data Act keine klaren Vorgaben für Standardformate macht, können Hersteller den Export in spezialisierten, proprietären Datenformaten anbieten, die eine aufwändige Konvertierung durch den Nutzer erfordern.

Beispiel: Nutzungsdaten von Smart-Home-Geräten

Ein Hersteller von vernetzten Haushaltsgeräten/Smart Home will vermeiden, dass Drittanbieter sofort auf detaillierte Nutzungsdaten zugreifen. Durch eine technische API-Steuerung könnte man die Abrufhäufigkeit auf einmal pro Monat beschränken und Echtzeit-Daten nur gegen zusätzliche Gebühren bereitstellen.

Monetarisierung von IoT-Daten durch „Freemium“-Modelle

Der Data Act zwingt Hersteller dazu, Daten bereitzustellen – aber nicht zwangsläufig kostenlos. Dies eröffnet neue Geschäftsmodelle, bei denen Dateninhaber weiterhin die Kontrolle über wirtschaftlich wertvolle Informationen behalten.

“Basis-Daten” kostenlos, “Premium-Daten” kostenpflichtig: Nutzer erhalten nur eine Grundversion der Daten, während zusätzliche Informationen (z. B. Echtzeit-Daten oder spezifische Analysen) gegen eine Gebühr abrufbar sind.
Lizenzgebühren für kommerzielle Nutzung: Falls ein Drittanbieter (z. B. eine unabhängige Werkstatt) Daten für gewerbliche Zwecke nutzt, kann dies durch Lizenzverträge monetarisiert werden.
Datenanalyse als Service verkaufen: Statt Rohdaten bereitzustellen, können Hersteller Daten in aufbereiteter Form als Abo-Modell anbieten.

Beispiel: Maschinenbetriebsdaten bei Industrie 4.0

Ein IoT-Unternehmen aus dem Bereich Industrie 4.0 will verhindern, dass Wettbewerber ohne Gegenleistung Zugriff auf wertvolle Maschinenbetriebsdaten erhalten. Die Lösung kann ein gestaffeltes Modell sein: Basisdaten (z. B. Laufzeiten und Fehlercodes) sind kostenlos abrufbar, während detaillierte Analysen (z. B. Predictive Maintenance) nur gegen Gebühr verfügbar gemacht werden.

Fazit: So behalten Hersteller mit der richtigen Strategie die Kontrolle über ihre IoT-Daten

Der EU Data Act wird das Machtverhältnis zwischen Herstellern, Nutzern und Drittanbietern grundlegend verändern. Durch eine geschickte Kombination aus vertraglichen Regelungen, technischer Steuerung und Geschäftsgeheimnisschutz lassen sich die wirtschaftlichen Interessen von Dateninhabern/Herstellern jedoch gut sichern.

Das müssen Unternehmen jetzt tun:

Frühzeitig Vertragsbedingungen überarbeiten, um Nutzungsrechte klar zu definieren.
Datenzugang über technische APIs regulieren und Monetarisierungsmöglichkeiten nutzen.
Schutz von Geschäftsgeheimnissen und kritischen Daten klar begründen.

Vereinbaren Sie jetzt ein
unverbindliches Erstgespräch!

Lassen Sie uns über Ihre Herausforderungen sprechen und vereinbaren Sie ein unverbindliches Erstgespräch mit unseren spezialisierten Anwält:innen.

Termin vereinbaren

Wir unterstützen Sie bei Ihren IoT-Produkten

Strategische Beratung bei der Entwicklung einer geeigneten Datenstrategie
Identifikation und Bewertung von Handlungsoptionen
Prüfung und Optimierung sowie Erstellung von Geschäftsbedingungen und weiteren Verträgen
Beratung bei der Auswahl und Nutzung von standardisierten (Embedded-)Software- und Hardware-Produkten (Lizenzfragen)
Beratung zu IT-Sicherheitsrechtlichen Aspekten, u.a. im Zusammenhang mit der Nutzung von Open Source Software (z.B. EU-CRV)