Viele Unternehmen denken beim Data Act zuerst an Industrie, vernetzte Maschinen oder große Plattformen. Für KMU, Agenturen und Website-Betreiber in Deutschland ist das Thema aber deutlich näher am Alltag: Cloud-Dienste, SaaS-Tools, smarte Geräte, Datenexporte, Analyseprozesse und Verträge mit IT-Anbietern gehören längst zur normalen digitalen Infrastruktur. Der EU Data Act schafft dafür neue Regeln zu Datenzugang, Datennutzung, Anbieterwechsel und fairen Vertragsbedingungen. Dieser Beitrag hilft bei der praktischen Einordnung und ersetzt keine individuelle Rechtsberatung.

Was der EU Data Act regelt

Der Data Act ist eine EU-Verordnung über faire Regeln für den Zugang zu und die Nutzung von Daten. Er gilt seit dem 12. September 2025 in der Europäischen Union und soll nach Darstellung der EU-Kommission Nutzern mehr Kontrolle über Daten aus vernetzten Produkten geben. Gemeint sind zum Beispiel Fahrzeuge, Smart-TVs, Industrieanlagen, Agrartechnik, Haushaltsgeräte oder andere Internet-of-Things-Geräte, die bei der Nutzung Daten erzeugen.

Für Unternehmen ist wichtig: Der Data Act betrachtet Daten nicht nur als internes Gut eines Herstellers oder Dienstleisters. Nutzer von vernetzten Produkten und verbundenen Diensten sollen bestimmte Daten leichter erhalten und mit Dritten teilen können. Gleichzeitig enthält die Verordnung Regeln gegen unfaire Vertragsbedingungen im Zusammenhang mit Datenzugang und Datennutzung. Außerdem adressiert sie den Wechsel zwischen Cloud- und Datenverarbeitungsdiensten.

Warum Website-Betreiber und KMU hinschauen sollten

Nicht jede Website fällt unmittelbar unter jeden Teil des Data Act. Trotzdem entstehen Berührungspunkte schneller, als viele Betriebe vermuten. Eine WordPress-Website kann mit CRM, Newsletter-Tool, Buchungssystem, Shop, Analyseplattform, Consent-Lösung, Cloud-Speicher, Support-Software und Automatisierungstools verbunden sein. Dazu kommen Geräte und Dienste im Unternehmen, etwa Kassensysteme, Tracking-Hardware, smarte Messgeräte, vernetzte Maschinen oder Fahrzeuge.

Wenn Daten aus solchen Systemen genutzt, exportiert, mit Dienstleistern geteilt oder in Prozesse eingebunden werden, sollten Unternehmen wissen, wem welche Daten zugänglich sind und was vertraglich vereinbart wurde. Das betrifft nicht nur große Datenstrategien, sondern auch alltägliche Fragen: Kommt ein Betrieb an seine Daten heran, wenn der Anbieter gewechselt wird? Gibt es verständliche Exportmöglichkeiten? Werden Schnittstellen blockiert? Enthalten Verträge sehr einseitige Klauseln zur Datennutzung?

Cloud-Wechsel wird ein praktisches Pflichtthema

Ein zentraler Punkt für Website-Betreiber ist der Anbieterwechsel bei Datenverarbeitungsdiensten. Die Bundesnetzagentur beschreibt, dass der Data Act Regeln und Interoperabilitätsanforderungen enthält, die den Wechsel von einem Datenverarbeitungsdienst zu einem anderen erleichtern sollen. In der Praxis geht es dabei häufig um Cloud-Dienste, Hosting-nahe Dienste, Backups, Datenbanken, Analyseumgebungen oder SaaS-Plattformen.

Für KMU ist das relevant, weil Abhängigkeiten oft unbemerkt wachsen. Ein Unternehmen startet mit einem Tool für Newsletter, ein weiteres für Kundendaten, ein Plugin für Buchungen und eine Cloud für Dateien. Nach einigen Jahren hängen Prozesse, Datenformate und Automatisierungen eng zusammen. Ein späterer Wechsel wird dann teuer, langsam oder riskant. Der Data Act löst nicht jedes technische Problem, macht aber Portabilität, Vertragsklarheit und Wechselmöglichkeiten zu Themen, die beim Einkauf und bei Verlängerungen nicht ignoriert werden sollten.

Data Act und DSGVO: getrennt prüfen, zusammen denken

Der Data Act betrifft auch nicht-personenbezogene Daten und wirtschaftliche Datenzugangsfragen. Sobald personenbezogene Daten betroffen sind, bleibt die DSGVO zusätzlich relevant. Unternehmen sollten deshalb nicht den Fehler machen, den Data Act als Ersatz für Datenschutzprüfung, Einwilligungsmanagement oder Auftragsverarbeitung zu verstehen. Ein Datenexport kann nach Data-Act-Logik möglich sein und trotzdem eine saubere datenschutzrechtliche Grundlage, technische Schutzmaßnahmen und klare Rollenverteilung brauchen.

Für Websites bedeutet das: Tracking-, Analyse-, CRM- und Marketingdaten müssen weiterhin datenschutzkonform verarbeitet werden. Ein gut gepflegter Datenschutz Generator-Text, ein erreichbarer Impressum Generator-Prozess und ein bedienbarer Consent Manager ersetzen keine Datenstrategie, sie bilden aber wichtige Bausteine für Transparenz gegenüber Nutzern.

Welche Daten KMU zuerst erfassen sollten

Der sinnvollste Start ist keine abstrakte Rechtsanalyse, sondern eine Datenlandkarte. Notieren Sie, welche digitalen Systeme in Ihrem Unternehmen Daten erzeugen, speichern oder auswerten. Dazu gehören Website-Formulare, Shop-Systeme, Newsletter-Plattformen, Webanalyse, CRM, Support-Tools, Terminbuchungen, Cloud-Speicher, Automatisierungen, Abrechnungssoftware und vernetzte Geräte. Ergänzen Sie, welche Dienstleister Zugriff haben und ob Export- oder Löschprozesse dokumentiert sind.

Besonders wichtig sind Daten, die geschäftskritische Abläufe stützen. Wenn Leads, Bestellungen, Kundenkommunikation, Produktdaten, Supporthistorien oder Kampagnendaten nur in einem Anbieter-Ökosystem liegen, entsteht Abhängigkeit. Prüfen Sie deshalb nicht nur, ob ein Export technisch möglich ist, sondern auch ob er vollständig, maschinenlesbar, verständlich dokumentiert und in einem realistischen Zeitraum nutzbar ist.

Praxis-Checkliste für den Data-Act-Readiness-Check

  1. Systeme inventarisieren: Welche Website-, Cloud-, SaaS- und Gerätedienste erzeugen oder speichern wichtige Daten?
  2. Datenarten trennen: Welche Daten sind personenbezogen, welche nicht, und welche Datensätze mischen beides?
  3. Export testen: Können Sie zentrale Daten ohne Supportticket in einem brauchbaren Format exportieren?
  4. Schnittstellen prüfen: Gibt es APIs, Webhooks oder dokumentierte Integrationen für Datenzugang und Datenweitergabe?
  5. Cloud-Abhängigkeit bewerten: Welche Systeme wären bei einem Anbieterwechsel schwer zu migrieren?
  6. Verträge lesen: Achten Sie auf Klauseln zu Datennutzung, Datenzugang, Sperrfristen, Wechselgebühren, Löschung und Support.
  7. Dienstleister einbeziehen: Klären Sie mit Agentur, Hoster und IT-Betreuung, wo Daten liegen und wer Zugriff hat.
  8. DSGVO separat dokumentieren: Prüfen Sie Auftragsverarbeitung, Rechtsgrundlagen, technische Maßnahmen und Betroffenenrechte.
  9. Wechselprobe planen: Simulieren Sie mindestens für kritische Systeme, wie ein Export und Import ablaufen würde.
  10. Beschaffung anpassen: Nehmen Sie Portabilität, Export, Schnittstellen und faire Datenklauseln in künftige Tool-Auswahl auf.

Was Agenturen und WordPress-Verantwortliche beachten sollten

Für WordPress-Agenturen, Freelancer und interne Website-Teams ist der Data Act vor allem ein Anlass, technische Abhängigkeiten sichtbarer zu machen. Viele Websites werden über Jahre erweitert: ein Formular-Plugin hier, eine Buchungsintegration dort, ein externes Analyse-Dashboard, ein CDN, ein Newsletter-Anbieter, ein CRM-Sync. Jede Erweiterung kann Daten erzeugen oder weitergeben. Wer diese Architektur betreut, sollte wissen, welche Daten beim Kunden bleiben, welche bei Dritten liegen und wie ein Anbieterwechsel praktisch durchgeführt werden könnte.

Auch bei neuen Website-Projekten lohnt sich ein kurzer Datenabschnitt im Konzept. Welche Systeme sind wirklich nötig? Werden Daten exportierbar gespeichert? Gibt es proprietäre Felder, die später kaum migrierbar sind? Wie werden Einwilligungen, Logdaten, Formulareingaben und Bestelldaten gesichert? Wer solche Fragen früh klärt, reduziert spätere Wechselkosten und kann Kunden nachvollziehbarer beraten.

Faire Verträge statt Tool-Wildwuchs

Der Data Act richtet den Blick auch auf einseitige Vertragsbedingungen. Die EU-Kommission nennt ausdrücklich den Schutz vor unfairen Verträgen, die Datenteilung verhindern könnten. KMU sollten deshalb nicht nur Funktionslisten vergleichen, sondern Vertragsbedingungen und Datenzugang prüfen. Gerade bei Standard-SaaS werden Klauseln oft akzeptiert, ohne dass jemand Exportkosten, Laufzeiten, Sperren oder Nutzungsrechte genauer liest.

Das muss nicht zu einem großen Compliance-Projekt werden. Schon eine einfache Beschaffungsregel hilft: Kein neues kritisches Tool ohne Antwort auf drei Fragen. Erstens: Welche Daten entstehen dort? Zweitens: Wie bekommen wir diese Daten vollständig wieder heraus? Drittens: Welche Rechte räumen wir dem Anbieter an unseren Daten ein? Wenn eine Antwort unklar bleibt, sollte das vor dem Rollout geklärt werden.

Welche Rolle Online-Marketing spielt

Online-Marketing-Teams arbeiten täglich mit Daten: Kampagnen, Zielgruppen, Webanalyse, Conversion-Tracking, CRM-Segmente, Newsletter-Listen und Content-Auswertungen. Der Data Act ersetzt keine Cookie-Einwilligung und keine DSGVO-Prüfung, kann aber die Diskussion über Datenhoheit stärken. Wer Kampagnendaten nur in einem Werbe- oder Analysekonto liegen hat, baut Abhängigkeiten auf. Wer seine Datenflüsse kennt, kann Berichte, Automatisierungen und Content Marketing nachhaltiger aufstellen.

Praktisch bedeutet das: Verwenden Sie klare Namenskonventionen, dokumentieren Sie wichtige Events, sichern Sie Zugriff auf eigene Konten, vermeiden Sie Schatten-Tools und exportieren Sie regelmäßig geschäftskritische Daten. Das ist keine rein juristische Aufgabe. Es ist Betriebsqualität.

Fazit

Der EU Data Act ist für KMU in Deutschland mehr als ein Spezialthema für Hersteller vernetzter Produkte. Er macht Datenzugang, Cloud-Wechsel, faire Vertragsbedingungen und Datenportabilität zu konkreten Managementfragen. Website-Betreiber sollten jetzt prüfen, welche Tools und Dienste wichtige Daten halten, wie Exporte funktionieren und wo Vertrags- oder DSGVO-Fragen offen sind. Wer diese Arbeit sauber dokumentiert, gewinnt nicht nur Compliance-Sicherheit, sondern auch Unabhängigkeit bei künftigen Tool- und Anbieterentscheidungen.

Quellen und weiterführende Informationen: EU-Kommission: Data Act, EU-Kommission: Data Act applies from 12 September 2025, Bundesnetzagentur: Data Act, Verordnung (EU) 2023/2854 bei EUR-Lex.