Data Act: 2026 wird zum Schicksalsjahr für IoT-Hersteller

Ab September müssen alle vernetzten Produkte in der EU so konstruiert sein, dass Nutzer ihre Daten einfach abrufen können. Für Hersteller von Smart-Home-Geräten bis zu Industrieanlagen beginnt damit die heiße Phase der Umsetzung.

Brüssel/Berlin – Das neue Jahr bringt für Europas Digitalwirtschaft eine entscheidende Weichenstellung: Die finale Übergangsfrist für eine Kernvorschrift des EU Data Act läuft. Während die allgemeinen Regelungen der Verordnung bereits seit September 2025 gelten, tritt die technische Pflicht zum „Data Access by Design“ für alle neuen vernetzten Produkte am 12. September 2026 in Kraft. Für die gesamte Internet-of-Things (IoT)-Branche wird 2026 damit zum entscheidenden Jahr der Transformation.

Die Deadline: „Zugang durch Design“ wird Pflicht

Der 1. Januar 2026 markiert den Start in die letzte Umsetzungsphase. Artikel 3 des Data Act verlangt, dass alle vernetzten Produkte und Dienstleistungen, die nach dem Stichtag auf den EU-Markt kommen, standardmäßig einen direkten Zugang zu den von ihnen erzeugten Daten ermöglichen müssen. Im Gegensatz zu den bereits geltenden Datenportabilitäts-Regeln zielt diese Vorschrift auf die Hardware selbst ab.

Die neue EU-Regulierung bedeutet für viele Hersteller mehr als nur Datenzugang — sie schafft zusätzliche Sicherheits- und Compliance-Pflichten. NIS2, DSGVO und Data Act verlangen technische Schutzmaßnahmen, klare Verantwortlichkeiten und überprüfbare Prozesse. Der kostenlose Leitfaden „Cyber Security Awareness Trends“ erklärt praxisnah, welche Sofortmaßnahmen jetzt Priorität haben, wie Sie Schnittstellen sicher gestalten und Risiken ohne große Investitionen reduzieren. Ideal für Entwicklungs- und Compliance‑Teams. Jetzt kostenlosen Cyber-Security-Guide herunterladen

„Die Uhr tickt für die Entwicklungsabteilungen“, kommentiert eine Analyse einer führenden Digitalkanzlei. Hersteller, die die erforderlichen Schnittstellen oder Zugangsmechanismen nicht bis zum Herbst in ihre Produktroadmaps integriert haben, riskieren, dass ihre Ware nicht mehr verkauft werden darf. Die EU gewährte für diese tiefgreifende technische Anforderung eine lange Übergangsfrist von 32 Monaten – diese ist nun fast abgelaufen.

Paradigmenwechsel für Geschäftsmodelle

Die Regelung stellt traditionelle Geschäftsmodelle infrage, die auf proprietären Datensilos basieren. Maschinendaten sind nicht länger automatisch das alleinige Eigentum des Herstellers.

Besonders betroffen sind Schlüsselsektoren:
* Automobilindustrie: Vernetzte Fahrzeuge müssen Besitzern und autorisierten Dritten wie freien Werkstätten direkten Zugriff auf Telemetrie- und Diagnosedaten gewähren.
* Konsumelektronik: Intelligente Haushaltsgeräte müssen Dashboards oder APIs bereitstellen, die Echtzeit-Nutzungsdaten für den Verbraucher sichtbar machen.
* Industrie 4.0: Betreiber von Maschinen müssen Leistungsdaten einsehen können, ohne für teure „Analytics-Pakete“ zu zahlen, die lediglich die eigenen Rohdaten aufbereiten.

Die Reaktionen fallen gespalten aus. Verbraucherschützer feiern die Regelung als Sieg für digitale Souveränität und das „Recht auf Reparatur“. Branchenverbände hingegen warnen vor dem technischen Aufwand, bestehende Produktlinien nachzurüsten, und mahnen zur Eile.

Doppelbelastung durch parallele Regulierung

Die Herausforderung für Unternehmen wird durch eine parallele Regulierungswelle verschärft. Die Deadline des Data Act folgt kurz auf das Inkrafttreten des deutschen NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) am 6. Dezember 2025. Für Technologie- und Industrieunternehmen summieren sich die Compliance-Anforderungen im Zeitraum 2025-2026 somit erheblich.

Hinzu kommt die Überschneidung mit der Datenschutz-Grundverordnung (DSGVO). Enthalten die Maschinendaten personenbezogene Informationen – bei Verbrauchergeräten häufig der Fall – müssen die „Access-by-Design“-Mechanismen auch die Prinzipien von Privacy by Design und Datensparsamkeit erfüllen. Die Aufsichtsbehörden für Datenschutz und Data Act werden voraussichtlich eng zusammenarbeiten.

Ausblick: Letzte Klarstellungen und volle Umsetzung

Die Europäische Kommission wird voraussichtlich im ersten Halbjahr 2026 weitere Leitlinien zu technischen Standards veröffentlichen. Unternehmen wird geraten, diese Entwicklungen genau zu verfolgen.

Eines steht bereits fest: Bis zum vierten Quartal 2026 wird „Data Access by Design“ kein Zukunftsthema mehr sein, sondern eine harte Voraussetzung für den Marktzugang in der Europäischen Union. Der Countdown für die IoT-Branche läuft.

PS: Wenn vernetzte Geräte personenbezogene Daten erzeugen, ist eine Datenschutz-Folgenabschätzung (DSFA) oft Pflicht. Unser gratis E‑Book zeigt, wie Sie eine rechtssichere DSFA für IoT‑Produkte erstellen, typische Risiken bewerten und mit praktischen Vorlagen Bußgelder vermeiden. Mit Schritt‑für‑Schritt‑Anleitungen dokumentieren Sie Datenschutzentscheidungen sicher und reduzieren Compliance‑Risiken frühzeitig. DSFA‑Leitfaden jetzt kostenlos herunterladen