Cybervize - Cybersecurity Beratung

Data Act: Roadmap für den CISO

Data ActCISOIT-LeitungISMS ManagerCloud- und Lieferantenmanagement

Kernaussage

Der Data Act (Verordnung (EU) 2023/2854) ist kein Cybersecurity-Rahmen, sondern Binnenmarktrecht für fairen Datenzugang, Datenportabilität und gegen Anbieter-Lock-in. Vier Themen betreffen den CISO direkt: Cloud-Exit, Drittland-Behördenzugriff, Datenflüsse vernetzter Produkte und die Zuständigkeit (Data-Act-Aufsicht der Bundesnetzagentur sowie klarer Owner im Haus).

Die Verordnung ist seit dem 12.09.2025 weitgehend anwendbar; in Deutschland regelt das Datenverordnung-Anwendungs- und Durchsetzungs-Gesetz (DADG, in Kraft seit 30.05.2026) die Durchführung, mit der Bundesnetzagentur als zuständiger Behörde. Die Roadmap braucht keine juristische Vertiefung, sondern klare Verantwortung für diese Themen.

Problem in der Praxis

Der Data Act gilt oft als reines Rechts- und Einkaufsthema, doch die operativen Konsequenzen treffen die Security-Organisation. Cloud-Verträge enthalten oft keine belastbaren Exit-Klauseln; niemand kann sagen, wie schnell, zu welchen Kosten und in welchem Format ein Dienst wieder verlassen werden könnte.

Der Schutz vor staatlichem Drittlandzugriff wird oft nur für personenbezogene Daten über die DSGVO gedacht; Art. 32 erweitert diese Logik ausdrücklich auf nicht-personenbezogene Daten. Datenflüsse vernetzter Produkte sind selten dokumentiert, und die Verantwortung verteilt sich auf Recht, Einkauf, IT und Security ohne Owner.

CISO-Einordnung

Der Data Act liefert das "Was" von Datenzugang, Portabilität und Exit, das ISMS das "Wie". Vier Arbeitsströme sind relevant:

  • Cloud-Exit und Verträge (Art. 23 ff.): Anbieter müssen Wechselhindernisse beseitigen: Mindestinhalte zu Kündigungs- und Übergangsregeln, funktionale Äquivalenz bei IaaS, offene Schnittstellen und maschinenlesbare Exportformate.
  • Drittlandzugriffsschutz (Art. 32): Anbieter müssen angemessene technische, organisatorische und rechtliche Maßnahmen gegen unrechtmäßigen staatlichen Drittlandzugriff treffen, ausdrücklich auch für nicht-personenbezogene Daten.
  • IoT-Datenflüsse (Art. 3 ff.): "Access by design" verpflichtet Hersteller und Anbieter verbundener Dienste, Nutzern und benannten Dritten Zugang zu den erzeugten Daten zu gewähren, unter Schutz von Geschäftsgeheimnissen.
  • Zuständigkeiten (Art. 37): Zentrale, sektorübergreifende Data-Act-Behörde ist die Bundesnetzagentur, inklusive Beschwerdebearbeitung (Art. 38).

Diese Rolle ist eine horizontale Sonderzuweisung, nicht die sektorale KRITIS- oder NIS2-Aufsicht der Bundesnetzagentur. Bei personenbezogenen Daten bleibt die Datenschutzaufsicht zuständig; die Ausgestaltung der Zusammenarbeit ist im Detail zu prüfen.

Umsetzungsperspektive

Die Roadmap folgt den vier Strömen in einfacher Taktung.

  1. Bestandsaufnahme. Inventar der Datenverarbeitungsdienste (IaaS, PaaS, SaaS) und vernetzten Produkte mit Speicherorten, Vertragslage und Drittlandbezügen.
  2. Vertrags- und Exit-Prüfung. Prüfen, ob Kündigungs-, Übergangs- und Portabilitätsregeln, Exportformate und Schnittstellen Art. 23 ff. genügen. Wechselentgelte dürfen übergangsweise nur kostendeckend anfallen, ab dem 12.01.2027 sind sie verboten.
  3. Exit-Fähigkeit testen. Welche Daten lassen sich tatsächlich exportieren, in welchem Format, in welcher Zeit, mit welcher funktionalen Äquivalenz?
  4. Drittlandzugriff absichern. Schutzmaßnahmen nach Art. 32 mit dem Anbieter klären und dokumentieren.
  5. IoT-Datenflüsse abbilden. Datenflüsse und Zugang dokumentieren, Geschäftsgeheimnisschutz mitdenken. Der Datenzugang nach Art. 3 Abs. 1 gilt für Produkte, die ab dem 12.09.2026 in Verkehr gebracht werden.
  6. Zuständigkeiten verankern. Owner benennen und das Zusammenspiel von Recht, Einkauf, IT und Security in einer RACI-Logik festhalten.

Typische Fehler

  1. Der Data Act wird als reines Rechtsthema delegiert, ohne Owner in der Security-Organisation.
  2. Exit-Klauseln stehen im Vertrag, wurden aber nie praktisch getestet.
  3. Drittlandzugriff wird nur für personenbezogene Daten betrachtet, Art. 32 für nicht-personenbezogene Daten übersehen.
  4. IoT-Datenflüsse bleiben undokumentiert, der Geschäftsgeheimnisschutz wird zu spät mitgedacht.
  5. Die horizontale Data-Act-Rolle der Bundesnetzagentur wird mit ihrer Sektoraufsicht oder mit NIS2 vermengt.

Risiken und Trade-offs

Offener Datenzugang und der Schutz von Geschäftsgeheimnissen stehen in einem Spannungsverhältnis. Echte Exit-Fähigkeit kostet Aufwand und kann Architekturentscheidungen einschränken.

Bei Finanzunternehmen wirken zudem die DORA-Exit-Anforderungen neben den Data-Act-Switching-Rechten (Aufsicht: BaFin und Bundesbank). Ein Bußgeldrahmen wird in Sekundärquellen mit bis zu 500.000 EUR kolportiert; Höhe und Fundstelle sind zu prüfen. Bei personenbezogenen Daten können daneben DSGVO-Bußgelder greifen.

Entscheidungspunkte

  • Welche Datenverarbeitungsdienste und vernetzten Produkte fallen in den Anwendungsbereich?
  • Welche Cloud-Verträge müssen nachverhandelt werden, und bis wann?
  • Wie wird Exit-Fähigkeit nicht nur vertraglich, sondern praktisch nachgewiesen?
  • Wer ist Owner über Recht, Einkauf, IT und Security hinweg?

Praktische Empfehlungen

  1. Benennen Sie einen Owner und verankern Sie den Data Act im Vertragsmanagement.
  2. Inventarisieren Sie Datenverarbeitungsdienste und vernetzte Produkte mit Speicherorten und Vertragslage.
  3. Prüfen Sie Cloud-Exit-Klauseln und testen Sie die Exit-Fähigkeit praktisch.
  4. Belegen Sie den Drittlandzugriffsschutz nach Art. 32 über ISMS-Controls, nicht als Rechtsnachweis.

Relevante Normreferenzen

  • Verordnung (EU) 2023/2854 (Data Act): Rechtsgrundlage für Datenzugang, Portabilität, Cloud-Switching (Art. 23 ff.), Drittlandzugriffsschutz (Art. 32) und Zuständigkeit (Art. 37). Frei zitierbar (EUR-Lex, Namensnennung).
  • DADG: deutsches Durchführungsrecht, in Kraft seit 30.05.2026, Bundesnetzagentur als zuständige Behörde. Frei zitierbar.
  • ISO/IEC 27001:2022: Referenz für ISMS-Controls zur Operationalisierung (Lieferanten-/Vertragsmanagement, Zugriffskontrolle, Kryptografie, Datenlöschung); keine Data-Act-Zertifizierung. Ergänzende Anker: DORA und BSI C5.

Häufige Fragen

Ist der Data Act ein Cybersecurity-Gesetz?+

Nein, sondern Binnenmarktrecht für fairen Datenzugang und gegen Lock-in. Er berührt aber Cloud-Exit, Drittlandzugriff und IoT-Datenflüsse und damit den CISO.

Ab wann gilt er?+

Die meisten Bestimmungen sind seit dem 12.09.2025 anwendbar. Das DADG ist seit dem 30.05.2026 in Kraft; das Verbot von Wechselentgelten greift ab dem 12.01.2027.

Wer ist in Deutschland zuständig?+

Die Bundesnetzagentur als zentrale, sektorübergreifende Data-Act-Behörde, nicht in ihrer Sektorrolle. Bei personenbezogenen Daten bleibt die Datenschutzaufsicht eingebunden.

Vom Wissen zur Umsetzung

Die Cybervize-Plattform und unsere Beratung setzen Data Act prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.

Passende Leistung ansehen

Verwandte Artikel

Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: da-005.