Zurück zum Blog
IT-Infrastruktur

EU Data Act 2026: Datenzugang & Cloud-Switching

Seit dem 12. September 2025 gilt der EU Data Act – die zweite grosse Datenverordnung neben der DSGVO. Sie regelt nicht Personendaten, sondern den Zugang zu allen Daten, die vernetzte Produkte erzeugen, und macht Cloud-Switching faktisch kostenlos. Schweizer KMU sind in drei Rollen betroffen: als Hersteller vernetzter Produkte, als Cloud-/Edge-Anbieter und als Nutzer. Wer 2026 Cloud-Verträge verlängert, IoT-Produkte in die EU verkauft oder verbundene Dienste betreibt, muss handeln. So setzen Sie Datenzugang, Switching und faire Vertragsklauseln pragmatisch um.

Autor: Gian Marco Ma Mai 2026 12 Min. Lesezeit

Kurz vorweg: Der Data Act ist weniger Datenschutz, mehr Wettbewerbs- und Innovationsrecht. Vier Hebel für Schweizer KMU: (1) IoT-Daten sind „eigentlich" Nutzerdaten – Hersteller müssen Zugang gewähren. (2) Cloud-Wechsel ohne Egress-Gebühren ab 2027. (3) B2B-Verträge dürfen keine missbräuchlichen Klauseln (z. B. einseitige Haftung) enthalten. (4) B2G-Datenpflicht bei „aussergewöhnlichen Bedürfnissen" (Pandemien, Naturkatastrophen). Konkret zu tun: Cloud-Verträge prüfen, IoT-Daten-Endpoint planen, Standard-Klauseln auf Data-Act-Konformität checken.

Die vier Säulen des Data Act

1

IoT-Datenzugang

Nutzer eines vernetzten Produkts erhalten Zugang zu „durch Nutzung" erzeugten Daten – einfach, sicher, kostenfrei. Hersteller muss Datenzugangs-Schnittstelle bereitstellen und auf Verlangen an Dritte herausgeben.

2

Faire B2B-Klauseln

Missbräuchliche Klauseln in Datenüberlassungs-Verträgen zwischen Unternehmen sind unwirksam. EU-Kommission stellt Mustervertragsklauseln (SCC) bereit. Schutz für KMU als schwächere Vertragspartei.

3

Cloud-Switching

Kein Lock-in mehr: Cloud- und Edge-Anbieter müssen Wechsel ohne unverhältnismässige Hürden erlauben. Egress-Gebühren werden bis 12.1.2027 vollständig abgeschafft. Funktionale Äquivalenz beim Anbieter-Wechsel.

4

B2G-Daten

Öffentliche Stellen können in aussergewöhnlichen Fällen (Pandemie, Naturkatastrophe) Datenzugang verlangen – mit klaren Grenzen, Vergütung und Schutzmassnahmen.

5

Interoperabilität

Standardisierung von Datenformaten in europäischen Datenräumen, gemeinsame Spezifikationen für Smart Contracts (z. B. automatisierte Datenfreigabe).

6

Drittlandsschutz

Schutz vor staatlichem Zugriff durch Drittländer auf nicht-personenbezogene Daten in der EU – ähnlich Schrems-Logik für Personendaten.

Drei Rollen – drei Pflichten-Pakete

Rolle 1 – Hersteller vernetzter Produkte (IoT, Maschinen, Smart Devices)

Für ab 12.9.2026 neu in Verkehr gebrachte Produkte: Datenzugang „by design". Schnittstelle (API/App/Bordmittel) für Nutzer, Datenweitergabe an Dritte auf Verlangen, Transparenz-Pflicht vor Kauf (Datenarten, Format, Häufigkeit, Speicherort). Keine Trade-Secrets-Erpressung als Argument gegen Datenzugang.

Rolle 2 – Cloud-, Edge- und SaaS-Anbieter

Switching-Pflichten ab 12.9.2025 stufenweise, ab 12.1.2027 keine Egress-Gebühren mehr. Funktionale Äquivalenz beim Anbieter-Wechsel, Daten- und Anwendungs-Portabilität, klare Wechsel-Prozesse, Standard-Klauseln in Verträgen. SaaS-spezifisch: zumindest Export der Nutzerdaten in maschinenlesbarem Format.

Rolle 3 – Nutzer / Datenverarbeitende KMU

Aktive Rolle: Sie können Datenzugang verlangen (eigene IoT-Maschine, Smart Tractor, Cloud-Daten), unabhängige Wartung beauftragen, Cloud wechseln ohne Egress-Strafe, sich gegen missbräuchliche B2B-Klauseln wehren. Pflicht: Daten nicht zur Konkurrenzentwicklung gegen den Hersteller verwenden, keine Weitergabe an Gatekeeper (Apple, Google, Meta, Microsoft, Amazon).

Cloud-Switching: Zeitlinie & Praxis

  • Seit 12.9.2025: Wechselgebühren nur noch in Höhe der tatsächlich entstandenen Wechselkosten zulässig – keine Strafzölle mehr.
  • Bis 12.1.2027: Schrittweise Reduktion der Wechselgebühren bis auf null – grosse Hyperscaler veröffentlichen Roadmaps.
  • Ab 12.1.2027: Keine Wechselgebühren mehr zulässig. Egress-Kosten beim regulären Wechsel sind verboten.
  • Funktionale Äquivalenz: Anbieter müssen technische Unterstützung leisten, damit der Wechsel mit vergleichbarer Funktionalität möglich ist – nicht bei jeder Spezialfunktion 1:1, aber Kern-Use-Cases müssen weiter funktionieren.
  • Wechselzeitraum: Standard 30 Tage Wechsel + bis zu 6 Monate Übergang, bei komplexen Setups verlängerbar.
  • Pflicht-Klauseln im Vertrag: maximale Wechselzeit, Notice-Period, Datenformat, technische Hilfe, Haftung beim Wechsel.
  • Praxis-Tipp für KMU: Bei Vertragsverlängerung 2026/2027 explizit Data-Act-Klausel einfordern, sonst per Verhandlung anpassen.

8-Wochen-Roadmap Data Act

1

Woche 1 – Anwendbarkeit & Rolle

Welche Rolle nimmt unser KMU ein? Hersteller vernetzter Produkte, Cloud-Anbieter, Nutzer? Welche Produkte/Verträge fallen in den Data-Act-Scope? Inventar erstellen.

Konkret: Data-Act-Scoping-Matrix mit allen Rollen und Verträgen.
2

Woche 2 – Cloud-Vertrag-Audit

Bestehende Cloud-/SaaS-Verträge prüfen: Egress, Wechsel-Klauseln, Datenexport-Format, Notice. Liste der Top-10-Verträge mit Data-Act-Gap.

Konkret: Vertrags-Audit-Report, Top-Verträge zur Nachverhandlung markiert.
3

Woche 3 – Exit-Plan

Pro Top-Cloud-Vertrag einen Exit-Plan: Datenexport-Test, Alternative-Anbieter-Optionen, Wechsel-Zeitfenster. Bei IaaS/PaaS auch Workload-Portabilität (Container, Terraform).

Konkret: Exit-Pläne pro Top-Cloud-Anbieter, Datenexport-Test durchgeführt.
4

Woche 4 – IoT-Daten-Zugang

Falls Hersteller: Inventar der Datenarten, die das Produkt erzeugt. Zugangs-Optionen (API, App, USB, Web-Portal) entwerfen. Vor-vertragliche Info erstellen.

Konkret: Daten-Inventar pro Produkt, Zugangs-Konzept, Pre-Contract-Info.
5

Woche 5 – Vertragsklauseln

Eigene Standard-Verträge (AGB, Lizenz, SaaS-Vertrag) auf Data-Act-Konformität prüfen: keine missbräuchlichen Klauseln, Switching-Rechte, Datenzugang.

Konkret: Standard-Vertrags-Set Data-Act-konform, intern abgenommen.
6

Woche 6 – B2B-Datenüberlassung

Datenüberlassungs-Verträge mit Partnern und Kunden prüfen. EU-Mustervertragsklauseln (SCC) einbauen, fairer Ausgleich für KMU, keine einseitige Haftung.

Konkret: Datenüberlassungs-Verträge auf SCC-Basis aktualisiert.
7

Woche 7 – Schulung & Prozess

Vertrieb, Einkauf, Legal schulen: Wer entscheidet was bei Datenzugangs-Anfragen? Wer prüft Cloud-Switching-Klauseln? Eskalationspfad festlegen.

Konkret: Prozess-Dokumentation, Verantwortlichkeiten, Schulung durchgeführt.
8

Woche 8 – Monitoring

Quartals-Review: Cloud-Verträge, Datenzugangs-Anfragen, regulatorische Updates der Europäischen Kommission und nationaler Behörden tracken.

Konkret: Operate-Modell, Quartals-Reporting im Kalender, Owner benannt.

Typische Stolpersteine

  • Data Act mit DSGVO verwechselt: DSGVO regelt Personendaten, Data Act alle Daten (auch maschinengeneriert). Beide gelten parallel.
  • Nur EU-Töchter betrachtet: Marktprinzip greift – Schweizer Hersteller mit EU-Vertrieb ist direkt erfasst, auch ohne EU-Sitz.
  • Cloud-Vertrag stillschweigend verlängert: Verlängerung 2026/2027 ohne Data-Act-Klausel = verschenkter Verhandlungsspielraum.
  • Egress-Gebühren als Wechselblocker akzeptiert: Anbieter müssen schrittweise reduzieren. Ab 12.1.2027 sind sie verboten.
  • IoT-Datenzugang als „Feature" verkauft: Nutzer hat seit 12.9.2025 ein Recht darauf – kostenfreier Zugang ist Pflicht, kein Premium-Aufpreis.
  • Trade-Secrets-Schutz missbraucht: Hersteller darf nicht pauschal Geschäftsgeheimnis behaupten, um Datenzugang zu verweigern – Abwägung nötig.
  • B2B-Standardvertrag nicht angepasst: einseitige Klauseln werden ungültig – im Streitfall verliert der stärkere Partner.
  • Switching ohne funktionale Äquivalenz: Anbieter muss aktiv unterstützen, nicht nur Daten dumpen.
  • B2G-Anfragen ignoriert: bei „aussergewöhnlichen Bedürfnissen" gibt es Mitwirkungspflichten – Prozess vorbereiten.
  • Gatekeeper-Daten-Weitergabe übersehen: Nutzer darf Daten nicht an Apple, Google, Meta, Amazon, Microsoft (Gatekeeper unter DMA) weitergeben – das ist verboten.

Fazit: Datenökonomie auf neuen Schienen

Der Data Act stärkt KMU dreifach: bessere Daten-Souveränität bei IoT, ehrlicher Cloud-Wettbewerb ohne Egress-Hürden, fairere B2B-Verträge. Wer in 8 Wochen Verträge prüft, Exit-Pläne dokumentiert und IoT-Daten zugänglich macht, hat 90 % der Pflichten im Griff. Die volle Egress-Befreiung ab Januar 2027 ist die grösste Chance: bisher rechneten Hyperscaler mit Lock-in – die Verhandlungsmacht kippt zugunsten der Kunden.

Für IoT- und Maschinen-Hersteller ist Datenzugang gleichzeitig Risiko und Chance: Wer Datenmodell standardisiert und mit Branchenverbänden Datenräume aufsetzt (Manufacturing-X, Agri-Data, Mobility), schafft neue Plattform-Geschäftsmodelle. Wer mauert, verliert. Schweizer KMU müssen das Marktprinzip ernst nehmen: Sitz egal, Zugang zum EU-Binnenmarkt entscheidet. Ein Data-Act-Owner (Legal + IT) mit klaren Quartals-Reviews reicht für die Mehrheit der KMU.

Data-Act-Audit für Ihr KMU

Wir prüfen Ihre Cloud-Verträge, IoT-Datenzugänge und B2B-Standardklauseln gegen den EU Data Act – mit Exit-Plan, SCC-Vorlagen und 8-Wochen-Roadmap.

Beratung anfragen

GIAR Digital GmbH

Passende Leistungen für Ihr KMU

Dieser Beitrag stammt von GIAR Digital, Ihrem IT-Partner für Schweizer KMU aus dem Kanton Aargau. Was wir hier beschreiben, setzen wir auch konkret um – diese Themen betreuen wir für kleine und mittlere Unternehmen:

IT-Infrastruktur & Microsoft 365 POS & Payment-Lösungen Prozessdigitalisierung KI-Automatisierung Custom Business Software Galaxus-Anbindung
Kostenlose Erstberatung anfragen