Data Act im Zusammenspiel mit DORA, BSI C5 und DSGVO
Kernaussage
Der Data Act (Verordnung (EU) 2023/2854) ist kein Cybersecurity-Rahmen und kein Zertifizierungsschema, sondern Binnenmarktrecht für fairen Datenzugang und gegen Anbieter-Lock-in. Die Steuerungsaufgabe für den CISO entsteht weniger aus dem Data Act allein als aus seinem Zusammenspiel mit Regimen, die viele bereits betreiben: DORA für IKT-Drittparteien- und Exit-Management, der BSI C5 als Nachweisraster für Cloud-Portabilität und Exit, die DSGVO für alles mit Personenbezug.
Diese Regime teilen Themen, aber nicht das Schutzgut. Der CISO sollte die gemeinsamen Anker - Exit, Portabilität, Drittland- und Drittparteienkontrolle, Personenbezug - in einem Modell bündeln, statt dieselbe Cloud-Exit-Fähigkeit mehrfach halb aufzubauen.
Problem in der Praxis
Die Verantwortung verteilt sich meist auf Silos: Das Auslagerungsmanagement bearbeitet DORA-Klauseln, die Cloud-Architektur die C5-Testate, der Datenschutz die DSGVO, der Einkauf den Anbietervertrag. Der Data Act fällt durch alle Raster, weil er sich keinem Silo zuordnen lässt.
Das zeigt sich, sobald ein Cloud-Wechsel real wird oder ein Auditor nach der Exit-Fähigkeit fragt: DORA-Ausstiegspläne existieren auf dem Papier, die technische Portabilität wurde nie getestet; das C5-Testat adressiert Exit-Kriterien, der Vertrag schreibt jedoch Wechselentgelte und proprietäre Formate fest; und niemand hat getrennt, welche Datenbestände personenbezogen sind. Hinzu die Behördenfrage: Bei DORA ist im Finanzsektor BaFin beziehungsweise Bundesbank zuständig, für den Data Act die Bundesnetzagentur, für personenbezogene Aspekte die Datenschutzaufsicht.
CISO-Einordnung
Der Data Act ist eine horizontale Schicht quer zu den bestehenden Regimen und greift vor allem bei Anbietern von Datenverarbeitungsdiensten (Cloud- und Edge-Dienste). Drei Schnittstellen sind steuerungsrelevant.
Erstens DORA und IKT-Drittparteien. Der Data Act adressiert beim Wechsel zwischen Datenverarbeitungsdiensten (Art. 23 ff.) die Beseitigung vertraglicher, technischer und organisatorischer Wechselhindernisse, Mindestinhalte für Kündigung und Übergang sowie funktionale Äquivalenz und Portabilität. DORA verlangt im IKT-Drittparteienmanagement (Art. 28 ff.) Ausstiegsstrategien, Substituierbarkeit und vertragliche Mindestinhalte. Beide zielen auf den geordneten Anbieterwechsel und wirken für Finanzunternehmen nebeneinander.
Zweitens BSI C5 und Cloud-Portabilität. Der C5 ist ein Cloud-Kriterienkatalog zu Portabilität, Interoperabilität und Exit-Management - kein Rechtsnachweis für die Data-Act-Pflichten, aber ein geeignetes Nachweisraster, das belegen kann, wie ein Anbieter Exportformate, Schnittstellen und Übergangsunterstützung organisiert.
Drittens DSGVO und die Grenze des Personenbezugs. Der Data Act erfasst personenbezogene und nicht-personenbezogene Daten. Bei personenbezogenen Daten gilt die DSGVO vorrangig beziehungsweise ergänzend; das Datenschutzniveau darf nicht abgesenkt werden. Der Personenbezug entscheidet, welches Pflichtenregime zusätzlich greift.
Umsetzungsperspektive
Der CISO sollte den Data Act in vorhandene Steuerungslinien einklinken, statt ihn isoliert zu implementieren.
- Cloud- und Anbieterregister um Exportformate, Wechselentgelte, Übergangsfristen und funktionale Äquivalenz ergänzen.
- Exit als gemeinsame Fähigkeit definieren, die DORA-Ausstiegspläne, Data-Act-Wechselrechte und C5-Exit-Kriterien zusammenführt.
- Datenklassifikation so erweitern, dass Personenbezug markiert ist und der DSGVO-Pfad sichtbar wird.
- Drittland-Kontrolle für beide Datenarten gemeinsam führen: DSGVO-Logik für personenbezogene und Data-Act-Logik (Art. 32) für nicht-personenbezogene Daten gegen unrechtmäßigen Behördenzugriff.
Die ISMS-Anker sind bekannt: Lieferanten-/Cloud-Beziehungen und Vertragsmanagement (ISO/IEC 27001 Anhang A.5.x) sowie Zugriffskontrolle, Kryptografie und Datenlöschung (A.8.x) liefern das "Wie", der Data Act das "Was und Wozu". Eine direkte Zertifizierung des Data Act über ISO 27001 oder C5 gibt es nicht.
Zur Orientierung dienen verifizierte Eckdaten: Die meisten Bestimmungen gelten EU-weit seit dem 12.09.2025; Wechselentgelte sind ab dem 12.01.2027 vollständig verboten (bis dahin nur kostendeckend). In Deutschland gilt das DADG seit dem 30.05.2026, seitdem ist die Bundesnetzagentur zuständige Behörde.
Typische Fehler
- Der Data Act wird an Legal delegiert, obwohl Exit- und Portabilitätsfähigkeit eine technisch-organisatorische CISO-Aufgabe ist.
- DORA-Exit-Pläne, C5-Exit-Kriterien und Data-Act-Wechselrechte werden getrennt gepflegt statt als eine Fähigkeit.
- Die Exit-Fähigkeit wird dokumentiert, aber nie getestet - Portabilität bleibt eine Behauptung.
- Personenbezug wird in Cloud-Datenbeständen nicht abgegrenzt; damit bleibt unklar, wann zusätzlich die DSGVO greift.
- Behördenzuständigkeiten werden vermengt - die horizontale Data-Act-Rolle der Bundesnetzagentur mit ihrer Sektoraufsicht oder mit der Finanzaufsicht (BaFin/Bundesbank).
Risiken und Trade-offs
Wer den Data Act nur als Vertragsthema behandelt, gewinnt Klauseln, aber keine getestete Wechselfähigkeit. Wer ihn nur technisch betrachtet, übersieht die vertraglichen Wechselhindernisse, auf die er ausdrücklich zielt.
Zugleich besteht ein Spannungsfeld zwischen Standardisierung und Anbieterbindung. Offene, maschinenlesbare Exportformate erhöhen die Wechselfähigkeit, können im Tagesbetrieb aber weniger komfortabel sein als tief integrierte, proprietäre Funktionen - die Entscheidung "Wechselfähigkeit gegen Integrationstiefe" gehört bewusst getroffen. Bei personenbezogenen Daten gilt zudem: Die Data-Act-Rechte dürfen den Datenschutz nicht aushebeln; die Koordination der Datenschutzaufsicht neben der Bundesnetzagentur ist im Detail noch zu verifizieren.
Entscheidungspunkte
- Führen wir Exit als gemeinsame Fähigkeit über DORA, Data Act und C5, oder pflegen wir getrennte Artefakte?
- Welche Cloud-Datenbestände sind personenbezogen, und wo greift damit zusätzlich die DSGVO?
- Wo entscheiden wir uns für Portabilität, und wo akzeptieren wir bewusst Bindung?
- Wie testen wir Wechsel- und Exit-Fähigkeit real, statt sie nur zu dokumentieren?
Praktische Empfehlungen
- Verankern Sie die Data-Act-Perspektive im vorhandenen IKT-Drittparteien- und Auslagerungsmanagement, statt ein neues Silo zu eröffnen.
- Definieren Sie eine konsolidierte Exit-Strategie aus DORA-Ausstiegsplänen, Data-Act-Wechselrechten und C5-Exit-Kriterien.
- Nutzen Sie C5-Testate als Nachweisraster für Portabilität und Exit, nicht als Rechtsnachweis.
- Markieren Sie Personenbezug in der Datenklassifikation eindeutig, damit der DSGVO-Pfad sichtbar bleibt.
- Planen Sie das Wechselentgelt-Verbot ab 12.01.2027 ein und prüfen Sie Bestandsverträge auf Wechselhindernisse.
- Halten Sie die Behördenzuständigkeiten getrennt und verifizieren Sie offene Detailfragen an den amtlichen Quellen.
Relevante Normreferenzen
- Verordnung (EU) 2023/2854 (Data Act): EU-Recht, frei zitierfähig; Datenzugang, Cloud-Wechsel, Schutz nicht-personenbezogener Daten vor Drittland-Behördenzugriff.
- DADG: deutsches Durchführungsrecht (Zuständigkeiten, Verfahren, Sanktionsrahmen); kein Ersatz des materiellen VO-Inhalts.
- Verordnung (EU) 2022/2554 (DORA): EU-Recht; IKT-Drittparteienmanagement und Ausstiegsstrategien (Art. 28 ff.).
- Verordnung (EU) 2016/679 (DSGVO): EU-Recht; vorrangig beziehungsweise ergänzend bei personenbezogenen Daten.
- BSI C5: Referenzraster für Cloud-Portabilität, Interoperabilität und Exit; kein Rechtsnachweis.
- ISO/IEC 27001:2022: Referenz für ISMS-Controls zur Operationalisierung (Anhang A.5.x und A.8.x).
Häufige Fragen
Ersetzt der Data Act unsere DORA-Exit-Strategie?+
Nein. Data-Act-Wechselrechte und DORA-Ausstiegsanforderungen wirken nebeneinander; sinnvoll ist eine konsolidierte Exit-Fähigkeit, die beide abdeckt.
Reicht ein C5-Testat als Nachweis für Data-Act-Pflichten?+
Nein. Der C5 ist ein Nachweisraster für Portabilität und Exit, aber kein Rechtsnachweis für die Erfüllung der Verordnung.
Wann greift bei Cloud-Daten zusätzlich die DSGVO?+
Sobald personenbezogene Daten betroffen sind. Bei Personenbezug gilt die DSGVO vorrangig und darf nicht abgesenkt werden.
Wer ist in Deutschland zuständig?+
Für den Data Act die Bundesnetzagentur, für personenbezogene Aspekte die Datenschutzaufsicht, im Finanzsektor für DORA die BaFin beziehungsweise Bundesbank. Details der Koordination sind noch zu verifizieren.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen Data Act prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: da-004.
