NIS2-Organhaftung greift trotz Registrierung
Tobias Massow
9 Min. Lesezeit Rund 11.000 betroffene Unternehmen in Deutschland sind Stand Ende Mai 2026 noch ohne ...
Der Zugangsanspruch zu ohne Weiteres verfügbaren Produktdaten gilt seit dem 12. September 2025 – für die gesamte Flotte, auch für Bestandsmaschinen, soweit der Datenhalter die Daten ohnehin hat. Was am 12. September 2026 hinzukommt, ist Access by Design für neu in Verkehr gebrachte vernetzte Produkte. Direktzugang muss dann konstruktiv vorgesehen sein. Bestand muss dafür nicht umgebaut werden. Der EU Data Act läuft seit einem Jahr. Kapitel II regelt den Zugang von Nutzern – Eigentümern, Mietern und Leasingnehmern – zu Produktdaten. Die harte Schnittstelle sitzt im Einkauf und im Betrieb.
Das Wichtigste in Kürze
VerwandtWenn Werkshalle und Rechenzentrum ein Netz werden / Lieferkettenpflichten brauchen eine Datenarchitektur
In vielen OT- und Fleet-Deals steckt die Datenfrage im Kleingedruckten – oder fehlt ganz. Der OEM liefert die Maschine. Die Rohdaten landen in seinem Portal. Der Betreiber bekommt Dashboards und Alarme, selten strukturierte Exporte für eigene Systeme oder Drittanbieter.
Auf diese Ausgangslage trifft der Data Act seit dem 12. September 2025. Kapitel II gibt Nutzern – Eigentümern, Mietern und Leasingnehmern – Anspruch auf Zugang zu ohne Weiteres verfügbaren Roh- und vorverarbeiteten Daten vernetzter Produkte und Related Services. Abgeleitete oder aufbereitete Auswertungen fallen darunter in der Regel nicht. Datenhalter müssen diesen Zugang kostenlos und einfach ermöglichen; wo es machbar ist, direkt. Auf Wunsch des Nutzers geht die Weitergabe an Dritte mit – unentgeltlich für den Nutzer, beim Empfänger an faire Bedingungen geknüpft. Gatekeeper sind als Empfänger ausgeschlossen. Ein weiterer harter Rahmen: Die Daten dürfen nicht zur Entwicklung eines Konkurrenzprodukts genutzt werden.
Die Managementfrage sitzt im Kauf-, Miet-, Leasing- oder Servicevertrag, sobald der Hersteller die Daten technisch und organisatorisch hält. CIOs und CDOs steuern diese Schnittstelle gemeinsam mit dem Einkauf. Wer sie dem OEM überlässt, erbt die Defaults des Herstellers.
Trade-off eins: Kontrolle gegen Geschwindigkeit. Ein standardisierter OEM-Portalzugang ist schnell live. Ein vertraglich erzwungener, maschinenlesbarer Export kostet Verhandlungszeit und oft Projektbudget für Integration. Trade-off zwei: Umfang der freigegebenen Daten gegen Schutz von Betriebsgeheimnissen. Der Data Act kennt Trade-Secrets- und Sicherheitsgrenzen – sie relativieren den Zugang, eignen sich aber schlecht als pauschaler Ausschluss im Vertragstext.
Ownership ist in DACH-Organisationen oft unklar. IT kennt Cloud-Verträge. OT kennt Maschinenverfügbarkeit. Der Einkauf unterschreibt Volumen und SLA. Datenformate und Drittweitergabe fallen zwischen die Stühle. Genau dort entsteht der Hebel für den OEM – und genau dort greift der gesetzliche Zugangsanspruch bereits heute, sobald die Daten ohne Weiteres verfügbar sind.
Typische Vertragspraxis (Beobachtung)
Data-Act-Logik (Kapitel II)
Die linke Spalte ist eine Branchenbeobachtung aus OT- und Fleet-Beschaffungen. Sie beruht auf keiner Erhebung. Die rechte Spalte folgt der Kapitel-II-Logik: Zugang für Nutzer zu ohne Weiteres verfügbaren Daten, Weitergabe auf Wunsch, Pflicht des Datenhalters. Wo die Grenze zu abgeleiteten Daten und Related Services im Einzelfall liegt, bleibt in der Praxis umstritten. Wer das im Vertrag offen lässt, überlässt die Deutung dem Hersteller – und verzichtet auf einen Anspruch, der seit September 2025 greift.
Zwei Ebenen sauber trennen. Erstens: Seit dem 12. September 2025 gilt der Zugangsanspruch zu ohne Weiteres verfügbaren Produkt- und Related-Service-Daten – auch für Bestandsmaschinen, sobald der Datenhalter sie hält. Zweitens: Access by Design – die konstruktive Pflicht, Direktzugang im Produkt vorzusehen – gilt für vernetzte Produkte, die nach dem 12. September 2026 in der Union in Verkehr gebracht werden. Das ist eine Design-Anforderung für Neuprodukte. Bestandsmaschinen müssen dafür nicht umgebaut werden.
Für den Betrieb heißt das: Die Flotte bleibt gemischt, die Rechtslage ist es nicht. Altanlagen unterliegen dem Zugangsanspruch, soweit Daten ohne Weiteres verfügbar sind – oft im OEM-Portal oder im Service-Backend. Neue Lieferungen ab dem Stichtag müssen so ausgelegt sein, dass Direktzugang konstruktiv möglich wird. Wer 2026 und 2027 größere Ersatz- oder Erweiterungsinvestitionen plant, verhandelt damit die Datenarchitektur der nächsten Dekade mit. Wer heute Portal-only und pauschale Drittverbote stehen lässt, verschenkt den Hebel, den Kapitel II bereits eröffnet.
Drei Risiken sind real und budgetrelevant. Erstens: Verträge, die den bestehenden Zugangsanspruch auf Portal-only reduzieren und maschinenlesbare Exporte auslassen. Zweitens: unklare Nutzerstellung bei Leasing, Mietmodellen und Betreiberkonzepten – Kapitel II knüpft an Eigentümer, Mieter und Leasingnehmer an, nicht an den reinen IT-Dienstleister. Drittens: ein Flickenteppich aus Altanlagen mit Portalzugang und Neuanlagen mit konstruktivem Direktzugang. Der Integrationsaufwand wandert dann ins eigene Architektur-Budget.
Was bewusst weich bleibt: der genaue Scope von Trade Secrets und Sicherheitsgrenzen im Einzelfall, die nationale Aufsichtspraxis und künftige Vereinfachungen im Digital-Regelwerk. Die Ausnahme für Kleinst- und Kleinunternehmen ist dagegen eine harte Norm. Belastbar sind Geltung seit September 2025, die Kapitel-II-Zugangslogik für ohne Weiteres verfügbare Daten und der Design-Stichtag für Neuprodukte ab September 2026.
Cloud- und Edge-Switching nach Kapitel VI ist ein eigener Track. Für die Beschaffung von Maschine und Sensor ist er Nebenkriegsschauplatz. Die primäre Entscheidung sitzt bei Produktdaten und Related Services – und bei der Frage, welche Schnittstelle der OEM im Gerät und im Aftermarket vorsieht.
Die Reihenfolge folgt der Logik des Hebelpunkts. Zuerst Inventar: Welche vernetzten Produkte stehen bereits im Bestand – und welche Related Services hängen daran, in denen der Datenhalter ohnehin Daten hält? Parallel: Welche Beschaffungen laufen 2026/27 als Kauf, Miete, Leasing oder Betreibermodell? Ohne diese Liste bleibt unklar, wo der Zugangsanspruch heute schon greift und wo Access by Design ab dem Stichtag greifen wird.
Als Nächstes der Einkauf: Ein standardisierter Datenanhang für Ausschreibungen und Rahmenverträge fixiert Datenkategorien (ohne Weiteres verfügbare Rohdaten, vorverarbeitete Daten, Metadaten), Formate, Aktualität, direkten Zugang wo machbar, Weitergabe an benannte Dritte auf Nutzerwunsch sowie die Grenze zur Konkurrenzprodukt-Entwicklung. Formulierungen wie „Zugang nach Maßgabe des Herstellers“ gehören aus dem Text. Sie verschieben die Deutungshoheit zurück zum OEM und unterlaufen den bestehenden Anspruch.
Dann Ownership intern: Ein verantwortlicher Owner – typisch CIO/CDO gemeinsam mit OT-Leitung – entscheidet, wohin die Daten fließen: MES, Analytics, Aftermarket-Partner, Instandhalter. Der Einkauf unterschreibt. Der Betrieb integriert. Ohne diese Aufteilung entstehen Parallelzugänge und Schatten-Integrationen. Die 90 Tage sind der realistische Fensterrahmen, um Inventar, Musteranhang und einen Pilot an einer laufenden Ausschreibung zu setzen – bevor die nächste große Bestellwelle unter OEM-Defaults durchläuft.
In DACH kommt die Mitbestimmung dort ins Spiel, wo aus Maschinendaten tatsächlich Personenbezug entsteht – etwa durch Bedienerzuordnung oder Leistungsprofile. Maschinendaten sind dafür nicht automatisch personenbezogen. Der Data Act regelt Produktdatenrechte. Er ersetzt keine Datenschutz- und Betriebsratsprozesse. Wer Sensorik in der Halle auswertet, trennt Maschinen- und Personendaten früh, sobald Personenbezug absehbar ist.
Budgetfrage: Die Kosten sitzen selten in der Lizenzzeile des OEM. Sie sitzen in Integration, Qualitätssicherung der Exporte und in der Pflege getrennter Flottenpfade für Alt und Neu. Wer das als reines Rechtsprojekt führt, unterschätzt den Capex- und Opex-Anteil. Wer es als Beschaffungs- und Architekturprojekt führt, kann die Schnittstelle setzen, solange der Anspruch bereits greift und der Design-Stichtag noch vor der nächsten Investitionswelle liegt.
Konkret in den ersten 90 Tagen: Inventarliste Bestand und geplante Connected-Product-Beschaffungen. Muster-Datenanhang mit Rechts- und OT-Review. Pilot an einer laufenden Ausschreibung – eine Linie, ein OEM, ein Related Service. Klare Rollenmatrix Nutzer/Datenhalter/interner Owner. Softspots (Trade Secrets, Grenzziehung readily available data, Related Services) als Verhandlungspunkte markieren, ohne sie als erledigte Rechtslage zu verkaufen.
Die Kernfrage bleibt operational. Was steht im Vertrag, wenn der Hersteller die Daten hält? Wer den Zugangsanspruch heute offen lässt und ab September 2026 nur auf Access by Design wartet, übernimmt die Defaults des OEM – und zahlt die Integrationsrechnung selbst.
Der Zugangsanspruch zu ohne Weiteres verfügbaren Produkt- und Related-Service-Daten gilt seit dem 12. September 2025, auch für Bestandsmaschinen, soweit der Datenhalter die Daten hält. Access by Design – die konstruktive Pflicht zum Direktzugang – gilt für vernetzte Produkte, die nach dem 12. September 2026 in der Union in Verkehr gebracht werden.
Für Access by Design besteht keine allgemeine Retrofit-Pflicht. Bestand muss nicht umgebaut werden, damit Direktzugang konstruktiv entsteht. Der Zugangsanspruch zu ohne Weiteres verfügbaren Daten greift dennoch bereits heute – etwa wenn der OEM dieselben Daten im Portal oder Service-Backend hält. Alt- und Neuanlagen laufen im Betrieb oft parallel, mit unterschiedlichen Integrationspfaden.
Zugang zu ohne Weiteres verfügbaren Roh- und vorverarbeiteten Daten vernetzter Produkte und Related Services – kostenlos, einfach und wo machbar direkt. Abgeleitete Auswertungen fallen in der Regel heraus. Auf Nutzerwunsch ist die Weitergabe an Dritte vorgesehen; Gatekeeper sind als Empfänger ausgeschlossen. Der Empfänger unterliegt fairen Nutzungsbedingungen. Die Daten dürfen nicht zur Entwicklung eines Konkurrenzprodukts genutzt werden. Trade Secrets und Sicherheit können den Zugang im Einzelfall begrenzen.
Nutzer sind insbesondere Eigentümer, Mieter und Leasingnehmer. In der Beschaffung sind deshalb Kauf, Miete, Leasing und Betreibermodelle sauber zu unterscheiden. Wer nur als IT-Dienstleister agiert, ohne Nutzerstellung, erbt nicht automatisch denselben Zugang.
Mindestens: Datenkategorien (ohne Weiteres verfügbare Daten), Formate, Zugangsweg inkl. direkter Zugang wo machbar, Regeln zur Drittweitergabe auf Nutzerwunsch, Abgrenzung zu Related-Service-Daten, Verbot der Nutzung zur Konkurrenzprodukt-Entwicklung und interne Rollen. Softspots wie Trade Secrets und Grenzziehungen im Einzelfall bleiben Verhandlungsmasse und eignen sich nicht als pauschale Ausschlussklausel. Der Hebel sitzt im laufenden und im nächsten Deal, nicht erst am Design-Stichtag.
Weiterlesen auf Digital Chiefs
Digital ChiefsNIS2-Organhaftung greift trotz RegistrierungDigital ChiefsToken-OPEX: Inference steuert, nicht das Seat-BudgetDigital ChiefsHardware schlägt Software-Deals – Capex neu sortierenMehr aus dem MBF Media Netzwerk
cloudmagazinSouveräne Cloud: Wer darf auf Lieferketten-Daten zugreifen? mybusinessfutureDie Maschine läuft noch – wann Retrofit den Neukauf schlägt securitytodayWas ist OT-Security? Schutz für ProduktionsanlagenBildquelle: KI-generiert (Juli 2026)
Sie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Turnstile. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Facebook. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Instagram. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen