[{"data":1,"prerenderedAt":390},["ShallowReactive",2],{"navigation":3,"\u002Fde\u002Fblog\u002Feu-data-act-business-devops":4,"\u002Fde\u002Fblog\u002Feu-data-act-business-devops-surround":380},[],{"id":5,"title":6,"authors":7,"badge":13,"body":14,"date":368,"description":369,"extension":370,"image":371,"lastUpdated":373,"meta":374,"navigation":375,"path":376,"published":375,"seo":377,"stem":378,"tags":13,"__hash__":379},"posts_de\u002Fde\u002F3.blog\u002F46.eu-data-act-business-devops.md","EU Data Act: Was Unternehmen und DevOps-Teams wissen müssen",[8],{"name":9,"to":10,"avatar":11},"Thomas Ens","\u002Fabout\u002Fthomasens",{"src":12},"\u002Fimages\u002Fblog\u002Fauthors\u002Fthomas.jpeg",null,{"type":15,"value":16,"toc":350},"minimark",[17,21,29,34,51,54,57,61,64,67,91,94,114,126,131,134,155,158,162,165,171,177,183,187,195,209,212,216,224,233,236,240,243,249,255,261,267,271,274,277,280,284,287,295,298,301,304,308,311,317,323,329,335,341,344,347],[18,19,20],"p",{},"Seit September 2025 gilt der EU Data Act verbindlich und die meisten Unternehmen stehen noch am Anfang ihrer Auseinandersetzung damit. Das ist kein Vorwurf, sondern eine Bestandsaufnahme: Das Gesetz ist komplex, die Auswirkungen sind je nach Unternehmensgröße und Cloud-Setup sehr unterschiedlich, und viele der konkreten technischen Konsequenzen stecken im Kleingedruckten.",[18,22,23,24,28],{},"Dieser Artikel erklärt, was der ",[25,26,27],"strong",{},"EU Data Act Unternehmen"," tatsächlich abverlangt – ohne Juristendeutsch, aber auch ohne die Schärfe der Anforderungen wegzureden. Wer Cloud-Dienste betreibt, nutzt oder entwickelt, sollte verstehen, was sich ändert.",[30,31,33],"h2",{"id":32},"was-der-eu-data-act-ist-und-warum-er-jetzt-relevant-wird","Was der EU Data Act ist und warum er jetzt relevant wird",[18,35,36,37,44,45,50],{},"Der ",[38,39,43],"a",{"href":40,"rel":41},"https:\u002F\u002Fbmds.bund.de\u002Fthemen\u002Fdigitale-wirtschaft\u002Fdata-act",[42],"nofollow","Data Act"," ist eine EU-Verordnung, die im Juni 2023 in Kraft trat und seit September 2025 vollständig anwendbar ist. Das Gesetz ergänzt den ",[38,46,49],{"href":47,"rel":48},"https:\u002F\u002Feur-lex.europa.eu\u002Flegal-content\u002FDE\u002FTXT\u002FHTML\u002F?uri=CELEX:32022R0868",[42],"Data Governance Act"," und verfolgt ein klares Ziel: Daten sollen leichter zugänglich, teilbar und portierbar werden, zwischen Unternehmen, zwischen Anbietern und zwischen Nutzern.",[18,52,53],{},"Der Grundgedanke: Wer Daten erzeugt oder hält, soll nicht automatisch exklusiven Zugang dazu haben. Wer Daten nutzt, soll sie auch wechseln oder mitgeben können.",[18,55,56],{},"Das klingt nach Datenpolitik. Aber die konkreten Anforderungen sind sehr technisch – und genau deshalb landen sie früher oder später auf dem Tisch von DevOps-Teams.",[30,58,60],{"id":59},"was-der-data-governance-act-ist","Was der Data Governance Act ist",[18,62,63],{},"Der Data Governance Act (DGA) ist das „Vorgänger-\u002FRahmengesetz\" im europäischen Datenpaket. Er ist seit 2022 in Kraft und schafft vor allem Spielregeln und Strukturen dafür, wie Daten geteilt werden dürfen, also Vertrauen, Rollen und Mechanismen.",[18,65,66],{},"Vereinfacht:",[68,69,70,82],"ul",{},[71,72,36,73,76,77,81],"li",{},[25,74,75],{},"DGA"," schafft den Rahmen, ",[78,79,80],"em",{},"damit"," Datenteilen überhaupt sauber funktioniert (wer darf vermitteln, wie wird Vertrauen organisiert, wie werden Datenräume ermöglicht?).",[71,83,36,84,86,87,90],{},[25,85,43],{}," verpflichtet dann konkret ",[78,88,89],{},"dazu",", Daten zugänglich und portierbar zu machen und reduziert Lock-in, insbesondere bei Cloud-Diensten.",[18,92,93],{},"Wichtige Bausteine im DGA:",[68,95,96,102,108],{},[71,97,98,101],{},[25,99,100],{},"Datenvermittlungsdienste (Data Intermediaries):"," Neutrale „Daten-Treuhänder\", die Daten-Sharing ermöglichen sollen, ohne selbst die Daten zu verwerten.",[71,103,104,107],{},[25,105,106],{},"Datenaltruismus:"," Regeln, wie Daten freiwillig für Gemeinwohl-Zwecke bereitgestellt werden können (z. B. Forschung).",[71,109,110,113],{},[25,111,112],{},"Europäische Datenräume:"," Ein rechtlicher\u002Forganisatorischer Rahmen für sektorale Datenräume (Gesundheit, Mobilität, Industrie etc.).",[18,115,116,117,120,121,125],{},"Für Unternehmen ist der DGA oft weniger ein „DevOps-Backlog-Thema\" als der Data Act, aber er ist die strategische Klammer: Er zeigt, dass die EU Datenteilen ",[78,118,119],{},"institutionalisiert"," und damit langfristig mehr Anforderungen (und Chancen) rund um Interoperabilität, Governance und Portabilität entstehen. ",[38,122,124],{"href":123},"\u002Fde\u002Fblog\u002Fdata-governance-act-devops-guide","In unserem Artikel zum Data Governance Act"," gehen wir auf den DGA und seine Auswirkungen auf DevOps-Teams tiefer ein.",[127,128,130],"h3",{"id":129},"geltungsbereich-wen-betrifft-der-data-act","Geltungsbereich: Wen betrifft der Data Act?",[18,132,133],{},"Der Data Act betrifft drei Gruppen:",[135,136,137,143,149],"ol",{},[71,138,139,142],{},[25,140,141],{},"Hersteller vernetzter Produkte"," – also IoT-Geräte, Maschinen, Fahrzeuge, alle Geräte, die Daten erzeugen",[71,144,145,148],{},[25,146,147],{},"Cloud- und Datendienste-Anbieter"," – SaaS, PaaS, IaaS",[71,150,151,154],{},[25,152,153],{},"Dateninhaber im B2B-Bereich"," – Unternehmen, die Daten aus vernetzten Produkten oder Diensten halten und anderen zur Verfügung stellen müssen",[18,156,157],{},"Wer keinen dieser Punkte erfüllt, ist vom Kern der Verordnung weniger betroffen. Aber: Fast jedes Unternehmen, das Cloud-Dienste nutzt, ist als Kunde eines Cloud-Anbieters indirekt betroffen, denn der Anbieter muss die Switching-Anforderungen erfüllen.",[30,159,161],{"id":160},"die-drei-kernpflichten-die-unternehmen-kennen-müssen","Die drei Kernpflichten, die Unternehmen kennen müssen",[18,163,164],{},"Der Data Act lässt sich auf drei zentrale Anforderungen herunterbrechen:",[18,166,167,170],{},[25,168,169],{},"1. Datenzugang:"," Nutzer vernetzter Produkte und Dienste müssen Zugang zu den von ihnen erzeugten Daten erhalten: in Echtzeit, ohne unverhältnismäßige Hürden.",[18,172,173,176],{},[25,174,175],{},"2. Datenportabilität:"," Daten müssen in einem strukturierten, maschinenlesbaren Format exportierbar sein. Das betrifft nicht nur personenbezogene Daten im Sinne der DSGVO, sondern auch Nutzungs-, Betriebs- und Maschinendaten.",[18,178,179,182],{},[25,180,181],{},"3. Anbieterwechsel:"," Cloud-Anbieter müssen es Kunden aktiv ermöglichen, zu einem anderen Anbieter zu wechseln: technisch und vertraglich.",[127,184,186],{"id":185},"anbieterwechsel-muss-möglich-sein-und-das-technisch","Anbieterwechsel muss möglich sein und das technisch",[18,188,189,190,194],{},"Der Data Act verpflichtet Cloud-Anbieter dazu, den ",[38,191,193],{"href":192},"\u002Fde\u002Fblog\u002Fcloud-exit-strategie","Wechsel zu einem anderen Anbieter"," zu erleichtern. Das klingt abstrakt, hat aber sehr konkrete Implikationen:",[68,196,197,200,203,206],{},[71,198,199],{},"Exportschnittstellen müssen existieren und dokumentiert sein",[71,201,202],{},"Datenformate müssen portierbar sein, keine exklusiven proprietären Formate ohne Migrationspfad",[71,204,205],{},"Vertragliche Lock-in-Klauseln, die einen Wechsel erschweren, sind einzuschränken",[71,207,208],{},"Der Wechselprozess selbst muss technisch unterstützt werden",[18,210,211],{},"Für DevOps-Teams bedeutet das: Wenn ihr Cloud-Dienste selbst anbietet oder betreibt, müsst ihr sicherstellen, dass Kundendaten exportierbar sind. Und zwar nicht als Workaround, sondern als dokumentierter, testbarer Prozess.",[127,213,215],{"id":214},"schluss-mit-egress-gebühren","Schluss mit Egress-Gebühren",[18,217,218,219,223],{},"Ein Punkt, der in der Praxis besonders relevant ist: Der Data Act sieht vor, dass Gebühren für den Datenexport (sogenannte Egress-Fees) schrittweise abgebaut werden. Bis September 2027 sollen sie vollständig entfallen. ",[38,220,222],{"href":221},"\u002Fde\u002Fblog\u002Fcloud-egress-fees","In unserem Artikel zu Cloud Egress Fees"," sind wir tiefer auf das Thema eingegangen.",[18,225,226,227,232],{},"Das ist eine direkte Antwort auf eine gängige Praxis: Hyperscaler haben Datenexporte historisch teuer gemacht, nicht weil das technisch notwendig wäre, sondern weil es Kunden vom Wechseln abhält. ",[38,228,231],{"href":229,"rel":230},"https:\u002F\u002Faws.amazon.com\u002Fde\u002Ffree\u002F?trk=e0c8e0e1-c8e1-4be3-af52-da7fd94810cd&sc_channel=ps&ef_id=CjwKCAjwyYPOBhBxEiwAgpT8P8hPYx5soED5QlLONlWXEsOPRuXRzlfJJmdCRzOwoDbmnNuuJaLElxoCqggQAvD_BwE:G:s&s_kwcid=AL!4422!3!798550574377!e!!g!!aws%20services!23606219756!193209716386&gad_campaignid=23606219756&gbraid=0AAAAADjHtp8_pJIm28H21JTth_V_wy6Gm&gclid=CjwKCAjwyYPOBhBxEiwAgpT8P8hPYx5soED5QlLONlWXEsOPRuXRzlfJJmdCRzOwoDbmnNuuJaLElxoCqggQAvD_BwE",[42],"AWS"," zum Beispiel berechnet pro GB ausgehenden Traffic. Wer große Datenmengen in der Cloud hält, zahlt also beim Wechsel oder bei jeder Datennutzung außerhalb des Anbieters.",[18,234,235],{},"Ab 2027 ist das zumindest innerhalb der EU regulatorisch nicht mehr haltbar.",[30,237,239],{"id":238},"eu-data-act-und-devops-was-sich-in-der-praxis-ändert","EU Data Act und DevOps: Was sich in der Praxis ändert",[18,241,242],{},"Compliance-Anforderungen sind oft abstrakt formuliert. Deshalb ist es sinnvoll, sie auf konkrete technische Entscheidungen herunterzubrechen.",[18,244,245,248],{},[25,246,247],{},"API-Design:"," Wer Dienste entwickelt, die Daten halten oder verarbeiten, sollte prüfen, ob die Export-APIs dokumentiert, stabil und maschinenlesbar sind. Nicht als Afterthought, sondern als Teil des Dienstdesigns.",[18,250,251,254],{},[25,252,253],{},"Infrastructure as Code:"," Wenn Infrastruktur über IaC-Tools wie Terraform oder Helm beschrieben wird, ist ein Wechsel grundsätzlich einfacher, vorausgesetzt, man setzt nicht auf Anbieter-spezifische Ressourcentypen ohne Alternative. Kubernetes-native Workloads sind hier im Vorteil.",[18,256,257,260],{},[25,258,259],{},"Datenpipelines:"," Wo werden Daten gespeichert, in welchem Format, und wie lassen sie sich von dort wieder rausbekommen? Das sind Fragen, die beim Data Act-Audit gestellt werden und die man besser schon beim Design beantwortet haben sollte.",[18,262,263,266],{},[25,264,265],{},"Dokumentation:"," Compliance bedeutet nicht nur, technisch konform zu sein, sondern das auch nachweisen zu können. Welche Daten werden wo gespeichert, wer hat Zugriff, und wie funktioniert der Exportprozess? Das muss schriftlich und überprüfbar sein.",[127,268,270],{"id":269},"interoperabilität-als-technische-anforderung","Interoperabilität als technische Anforderung",[18,272,273],{},"Der Data Act fordert explizit, dass Datendienste interoperabel sein müssen. Das heißt konkret: Schnittstellen sollen auf offenen Standards basieren, keine proprietären Protokolle ohne dokumentierte Alternative.",[18,275,276],{},"Für die Cloud-Welt ist das ein interessantes Signal. Wer auf Kubernetes setzt, S3-kompatible Storage-APIs nutzt und auf proprietäre Managed Services verzichtet, ist regulatorisch besser aufgestellt, nicht weil er die Regulierung im Blick hatte, sondern weil offene Standards technisch schlicht sinnvoller sind.",[18,278,279],{},"Gaia-X-konforme Plattformen und Kubernetes-basierte Lösungen haben hier strukturell Vorteile gegenüber Lösungen, die stark auf proprietäre APIs setzen.",[30,281,283],{"id":282},"hyperscaler-vs-offene-plattformen-wer-hat-die-besseren-karten","Hyperscaler vs. offene Plattformen: Wer hat die besseren Karten?",[18,285,286],{},"Das ist eine der interessanteren Fragen rund um den Data Act und die Antwort ist nicht ganz einfach.",[18,288,289,290,294],{},"Hyperscaler wie AWS, Azure und GCP haben die Ressourcen, um Compliance-Anforderungen umzusetzen. Sie werden es tun. Aber ihre Ausgangslage ist kompliziert: Ihre Architektur ist historisch auf Kundenbindung ausgelegt. Proprietäre Dienste, tiefe Integrationen, Egress-Gebühren, das ist kein Versehen, sondern ",[38,291,293],{"href":292},"\u002Fde\u002Fblog\u002Fcloud-vendor-lock-in","strategisch angelegter Vendor Lock-in",".",[18,296,297],{},"Der Data Act zwingt sie dazu, einige dieser Barrieren abzubauen. Ob das wirklich zu mehr Portabilität führt oder ob sich die Lock-in-Mechanismen nur verlagern, wird die Praxis zeigen.",[18,299,300],{},"Offene Plattformen, solche, die auf Kubernetes, offenen Speicherstandards und dokumentierten APIs aufbauen, haben einen anderen Ausgangspunkt. Sie sind nicht von Haus aus auf Lock-in ausgelegt. Das macht Compliance einfacher, weil die technische Grundlage besser passt.",[18,302,303],{},"Für Unternehmen, die Anbieter wählen oder wechseln, ist das ein realer Entscheidungsfaktor: Mit welchem Anbieter ist eine Data-Act-konforme Infrastruktur leichter umsetzbar?",[30,305,307],{"id":306},"was-unternehmen-jetzt-tun-sollten","Was Unternehmen jetzt tun sollten",[18,309,310],{},"Kein Unternehmen muss sofort alles umstrukturieren. Aber einige Punkte sollten jetzt angegangen werden:",[18,312,313,316],{},[25,314,315],{},"Bestandsaufnahme der Datenhaltung:"," Welche Daten liegen wo, in welchem Format, und wer hat darauf Zugriff? Das ist die Grundlage für alles Weitere.",[18,318,319,322],{},[25,320,321],{},"Export-Fähigkeit prüfen:"," Können Kundendaten aus euren Systemen exportiert werden in einem Format, das weiterverwendet werden kann? Falls nicht: Das ist ein konkretes Risiko.",[18,324,325,328],{},[25,326,327],{},"Vertragscheck:"," Cloud-Verträge sollten auf Lock-in-Klauseln überprüft werden. Bestehende Verträge müssen unter Umständen angepasst werden, bevor die Fristen ablaufen.",[18,330,331,334],{},[25,332,333],{},"API-Dokumentation:"," Wer Dienste anbietet, sollte sicherstellen, dass Export- und Interoperabilitäts-APIs dokumentiert und testbar sind.",[18,336,337,340],{},[25,338,339],{},"Interne Zuständigkeit klären:"," Data Act Compliance ist keine reine Rechtsaufgabe. Sie hat eine starke technische Komponente. DevOps-Teams sollten in die Bewertung eingebunden sein.",[18,342,343],{},"Der Data Act ist kein DSGVO-2.0. Er ist technischer, stärker auf Cloud und vernetzte Systeme ausgerichtet, und er trifft Unternehmen an einem anderen Punkt ihrer Infrastruktur. Wer das früh versteht, kann Compliance als Gestaltungsaufgabe angehen statt als Pflichtübung.",[345,346],"hr",{},[18,348,349],{},"lowcloud ist eine Kubernetes-DevOps-as-a-Service-Plattform, die auf offenen Standards aufgebaut ist, ohne proprietäre Abhängigkeiten, mit S3-kompatiblem Storage und dokumentierten APIs. Für Unternehmen, die Data-Act-konforme Infrastruktur betreiben wollen, ist das ein sinnvoller Ausgangspunkt.",{"title":351,"searchDepth":352,"depth":352,"links":353},"",2,[354,355,359,363,366,367],{"id":32,"depth":352,"text":33},{"id":59,"depth":352,"text":60,"children":356},[357],{"id":129,"depth":358,"text":130},3,{"id":160,"depth":352,"text":161,"children":360},[361,362],{"id":185,"depth":358,"text":186},{"id":214,"depth":358,"text":215},{"id":238,"depth":352,"text":239,"children":364},[365],{"id":269,"depth":358,"text":270},{"id":282,"depth":352,"text":283},{"id":306,"depth":352,"text":307},"2026-03-31","Der EU Data Act gilt seit 2025. Was er für Cloud-Dienste, Datenportabilität und DevOps bedeutet – und was Unternehmen jetzt tun sollten.","md",{"src":372},"\u002Fimages\u002Fblog\u002Feu-data-act-business-devops.jpg","2026-04-01",{},true,"\u002Fde\u002Fblog\u002Feu-data-act-business-devops",{"title":6,"description":369},"de\u002F3.blog\u002F46.eu-data-act-business-devops","GTvV3ALe56JDVtc8vXB9QZl5Fz1RtSwtlVTSDQ55smU",[381,386],{"title":382,"path":383,"stem":384,"description":385,"children":-1},"Software Deployment KMU: Schneller und sicherer ausrollen","\u002Fde\u002Fblog\u002Fsmb-software-deployment","de\u002F3.blog\u002F45.smb-software-deployment","Wie kleine Teams mit CI\u002FCD, PaaS und GitOps von manuellen Deployments zu automatisierten Workflows kommen, ohne ein Platform-Team aufzubauen.",{"title":387,"path":123,"stem":388,"description":389,"children":-1},"Data Governance Act: Was KMU und DevOps-Teams wissen müssen","de\u002F3.blog\u002F47.data-governance-act-devops-guide","Der EU Data Governance Act betrifft auch technische Teams. Erfahren Sie, was der DGA für Ihre Kubernetes-Deployments, Datenflüsse und Infrastrukturwahl bedeutet.",1775388346156]