Wer 2026 ein vernetztes Produkt baut, darf seine Daten nicht mehr verschließen.
Das ist die nüchterne Übersetzung dessen, was am 12. September 2026 in Kraft tritt: Artikel 3(1) der EU-Verordnung 2023/2854 – besser bekannt als EU Data Act. Ab diesem Tag gilt: Wer einen Sensor baut, eine Maschine vernetzt, eine App ausliefert, die Daten erzeugt, muss von der ersten Konstruktionszeichnung an mitdenken, dass diese Daten dem Nutzer gehören – und für ihn auch erreichbar sein müssen.
Das ist kein neues Thema. Es ist ein Ablaufdatum.
Was bisher galt, was ab September gilt
Die Verordnung ist seit Januar 2024 in Kraft. Den ersten Pflichtblock haben Unternehmen bereits am 12. September 2025 geschluckt: Datenzugang für Nutzer bei bestehenden Produkten, faire Cloud-Wechselbedingungen, Schutz vor missbräuchlichen B2B-Vertragsklauseln. Das hat in den meisten kleinen Häusern niemand gemerkt, weil der Druck noch von oben kam – Hersteller, die ihre Produkte einer Konzernkette verkaufen, mussten reagieren. Die KMU dahinter haben profitiert, ohne es zu wissen.
Am 12. September 2026 ändert sich der Adressat.
Ab dann gilt die Konstruktionspflicht für jedes neue vernetzte Produkt, das in der EU verkauft wird. „Data by Design" ist die offizielle Formel. Übersetzt: Wenn Ihr Produkt Daten erzeugt – und das tut heute fast jedes Produkt, vom Heizungsregler bis zur Werkstattsteuerung – dann muss der Käufer technisch in der Lage sein, an diese Daten zu kommen, ohne Sie um Erlaubnis zu fragen.
Das klingt akademisch. Es ist eine Bombe.
Was das für drei typische Häuser bedeutet
Maschinenbauer mit IoT-Komponente. Wer 2027 eine vernetzte Werkstattsteuerung verkaufen will, muss bis September 2026 entschieden haben: Welche Daten erzeugt das Gerät? Wer darf an sie heran? Wie kommt der Käufer an sie, ohne durch unser Backend zu gehen? Wer das nicht löst, hat ein Produkt, das in der EU rechtlich nicht mehr verkäuflich ist – nicht weil ein Beamter kommt, sondern weil der erste Großkunde im Lastenheft fragt.
Software-Haus mit Cloud-Service. Was passiert, wenn ein Kunde sagt: „Ich nehme alle meine Maschinendaten der letzten zwei Jahre mit und gehe woanders hin"? Wenn die Antwort ist „technisch geht das nur, wenn Sie unser Premium-Paket buchen", dann sind Sie ab September 2026 angreifbar. Der Data Act verbietet künstliche Wechselhürden. Daten gehören dem Kunden, nicht dem Vertrag.
Vereins-Software, Praxisverwaltung, Werkstatt-IT. Die Schwelle ist niedriger als gedacht. Sobald Ihre Software für andere Unternehmen Daten erzeugt – Mitgliederdaten, Patientendaten, Auftragsdaten – sind Sie Teil der Lieferkette. Die Pflicht endet nicht bei Siemens und Bosch. Sie endet beim letzten Bit, das ein Mensch oder eine Maschine im Produkt erzeugt hat.
Warum das mit dem CLOUD Act zusammenkommt
Der Data Act sagt: Daten gehören dem Nutzer. Der CLOUD Act von 2018 sagt: US-Behörden dürfen auf Daten zugreifen, die ein US-Unternehmen kontrolliert – egal, wo der Server steht. Schrems II sagt seit 2020: US-Recht bietet keinen angemessenen Schutz für EU-Daten.
Wenn Sie 2026 ein vernetztes Produkt bauen und dessen Daten bei einem US-Hyperscaler ablegen – auch in einer „EU-Region" – dann steht Ihr Kunde vor einem Konflikt, den er nicht selbst auflösen kann. Sein Recht auf Datenzugang trifft auf das Recht einer fremden Behörde, ihm den Zugriff zu unterbrechen. Die Architektur entscheidet, nicht der Vertrag.
Genau hier liegt die Falle für viele kleine Häuser: Sie haben in den letzten fünf Jahren auf große US-Cloud-Plattformen gesetzt, weil das schnell und billig war. Sie haben damit ihre Datenarchitektur an ein Rechtsregime gebunden, das mit dem Data Act in Spannung steht. Im September 2026 wird diese Spannung sichtbar – nicht in einem Gerichtssaal, sondern im Lastenheft des nächsten Kunden, der fragt: „Wer kann auf unsere Daten zugreifen?"
Was eine andere Architektur möglich macht
Ein operatives Rückgrat, das auf Servern unter Ihrer Kontrolle läuft, ist keine politische Aussage. Es ist eine technische Antwort auf eine rechtliche Frage. Die Daten Ihrer Kunden liegen dort, wo Sie sie erreichen können – nicht wo der nächste Justizminister sie erreichen kann. Schnittstellen sind dokumentiert. Exporte sind eingebaut. Der Wechsel zu einem anderen Anbieter ist möglich, weil das Format offen ist – nicht weil eine Klausel es verspricht.
Das ist die Form von Klarheit, um die der Data Act 2026 die Wirtschaft bittet. Nicht als Geste. Als Voraussetzung dafür, weiter zu verkaufen.
Die ehrliche Frage
Stellen Sie sich vor, im Oktober 2026 fragt ein Großkunde Sie auf einem Audit: „Wo liegen unsere Daten genau, und kommen wir an sie ran, ohne durch Sie zu gehen?" Welche Antwort haben Sie?
Wenn die Antwort „ja" lautet, ist alles gut. Wenn die Antwort eine Erklärung ist, sollten Sie heute anfangen.
Was jetzt?
Was Tycho Platform anders macht — operatives Rückgrat auf Ihrem Server →
Drei Fragen, eine Antwort: der digitale Freiheits-Check →
Lesen Sie auch: Europa antwortet auf den CLOUD Act →
Dieser Artikel beschreibt die Verordnung (EU) 2023/2854 in der ab 12. September 2026 anwendbaren Fassung. Er ersetzt keine Rechtsberatung. Wenn Sie eine konkrete Konstellation prüfen lassen möchten, wenden Sie sich an einen IT-rechtlich spezialisierten Anwalt.