This article is also available in English

Dieser Artikel ist Teil einer Reihe.

  • Teil 1: Digitale Souveränität – Ein Definitionsversuch
  • Teil 2: CIO-Fragestellungen zur digitalen Souveränität
  • Teil 3: Digitale Souveränität: Warum die Architektur zählt und wie Sie Ihr Unternehmen resilient machen
  • Teil 4: EU-Datenverordnung: Der Anfang vom Ende der Cloud-Monokultur?
  • Teil 5: Dateninventare im EU Data Act: Die Demokratisierung der IoT-Geräte (dieser Artikel)

Ein Dateninventar ist eine strukturierte und systematische Übersicht über jene Datenressourcen, die bei der Nutzung vernetzter Produkte anfallen. Was auf den ersten Blick wie zusätzliche Bürokratie aussieht, offenbart bei genauerem Hinsehen echtes strategisches Potenzial für geschäftliche Anwender:

  • Transparenz über alle IoT‑ und Maschinendaten
  • Rechtssichere Nutzung dieser Daten
  • Kontrolle über die Weitergabe an Partner oder Dienstleister

Moderne Datenprinzipien können dabei helfen, den rechtlichen Voraussetzungen zu entsprechen. Data Literacy (Datenkompetenz) und eine Kultur des datengetriebenen Arbeitens sind die Grundlagen, um die Regeln des EU Data Acts in einen handfesten Vorteil für Organisationen zu verwandeln.

Welche Pflichten habe ich als datenhaltendes Unternehmen?

Es erfolgt ausschließlich eine Bewertung der Auswirkungen des EU Data Act vorwiegend auf technischer und organisatorischer Sicht – eine juristische Beratung kann und soll dieser Artikel nicht ersetzen. Dennoch sollen die wichtigsten Aspekte der Verordnung im Hinblick auf Dateninventare erläutert werden, um einen leicht verständlichen, grundlegenden Überblick zu geben.

Betroffen sind alle Hersteller vernetzter Produkte. Das sind physische Geräte, die über das Internet oder andere Netzwerke mit digitalen Systemen verbunden sind und dadurch ständig Daten erzeugen, empfangen oder austauschen können. Dazu zählen etwa Produktionsmaschinen und smarte Nutzfahrzeuge. Im EU Data Act sind auch Anbieter digitaler Dienste genannt, die solche Produkte ergänzen, indem sie die Daten der Produkte verwenden. Kleine und mittlere Unternehmen mit weniger als 50 Mitarbeitenden und einem Umsatz von unter zehn Millionen Euro sind davon ausgenommen, sofern sie nicht Teil der Lieferkette eines größeren Akteurs sind.

Alle Informationen, die während der Nutzung anfallen – etwa Sensordaten, Telemetrie oder Diagnosedaten sowie Metadaten – müssen in einem strukturierten Dateninventar erfasst und beschrieben werden, sodass diejenigen, durch deren Nutzung die Daten entstehen, sie anfordern und verarbeiten können. Der Zugriff muss maschinenlesbar, ohne unnötige Hürden und diskriminierungsfrei über eine API oder eine Download-Plattform angeboten werden.

Geräte und Dienste sind so zu entwickeln, dass ein späterer Datenzugriff technisch möglich, sicher und effizient umsetzbar ist. Schnittstellen, Formate und Zugriffskonzepte sollten daher von Beginn an mitgedacht, geplant und dokumentiert werden – nicht erst, wenn Nutzende sie einfordern. Was später zugänglich sein soll, muss von Anfang an so geplant werden.

Gleichzeitig wird der Aufwand für die Bereitstellung gesetzlich begrenzt. Unternehmen sind nicht verpflichtet, neue Systeme zu entwickeln oder technisch und wirtschaftlich unzumutbare Maßnahmen zu ergreifen, nur um den Datenzugang zu ermöglichen. Die Bereitstellung von Daten ist nur erforderlich, wenn diese technisch verfügbar und in gängigen Formaten zugänglich sind. Es sind weder aufwendige Nachbauten noch Sonderformate oder Rückrechnungen erforderlich.

Dabei ist Folgendes zu beachten: Wenn es um personenbezogene Daten geht, hat die DSGVO Vorrang vor dem Data Act. Die Verarbeitung oder Weitergabe dieser Datenart erfordert weiterhin eine entsprechende Rechtsgrundlage (z.B. Einwilligung oder Vertrag).

Der Umgang mit den eigenen Daten entscheidet, wie viel Aufwand nötig ist.

Moderne Ansätze im Umgang mit Daten, wie etwa eine Data-Mesh-Architektur, können helfen, die Anforderungen des EU Data Acts effizient und robust umzusetzen.

Bei einer Data-Mesh-Architektur[1] liegt die Verantwortung für die Bereitstellung und Datenqualität dort, wo Daten entstehen. Daten werden dabei nicht als reine Assets, sondern als Produkte verstanden. In einem Datenproduktkatalog pflegen Entwicklungsteams ein Verzeichnis der von ihnen generierten oder verarbeiteten Daten – die perfekte Grundlage für das Dateninventar. Anstelle zentraler IT-Flaschenhälse sind die Domänenteams für ihre eigenen Datenprodukte verantwortlich. Das Dateninventar ist dabei kein reines Compliance-Dokument, sondern ein (automatisiert erstellter) Teil des Datenprodukts. Wenn ich bereits einen gut gepflegten Datenproduktkatalog habe, bleiben die zusätzlichen Aufwände für die Erstellung des Dateninventars wahrscheinlich gering.

Benutzeroberfläche des Data Mesh Manager Marketplace-Moduls mit Suche, Domains und populären Data Products wie 'Orders' oder 'Search Queries'. Das Interface zeigt Teamzuordnungen und Datenproduktstatus.
Der Data Mesh Manager macht im Data Marketplace Datenprodukte über Domains hinweg auffindbar und zugänglich – ein praktisches Beispiel für einen modernen, nutzerorientierten Datenproduktkatalog. (Quelle: entropy-data.com)

Ein weiterer Trend in der Welt der Data Governance sind Data Contracts[2], die häufig, aber nicht ausschließlich, in Kombination mit Data Mesh genutzt werden. Die Kernidee von Data Contracts ist, dass die Nutzung von Daten auf Verträgen statt auf Vermutungen basiert. Ein Data Contract definiert nicht nur die technische Struktur eines Datensatzes, sondern auch seine fachliche Bedeutung, die Validierungsverfahren und die Verantwortlichkeiten. Er umfasst also mehr als eine reine Schnittstellenbeschreibung. Damit werden die zentralen Anforderungen, die der EU Data Act an ein Dateninventar stellt, erfüllt. Darüber hinaus bietet er einen Mehrwert in Form von automatisierter Validierung, Versionierung, Monitoring und testbaren Schnittstellen. Diese sind für jede skalierbare Datenbereitstellung unverzichtbar. Wenn ich Data Contracts bereits nutze, kann ich mein Dateninventar relativ einfach daraus ableiten.

Unabhängig davon, ob es um Data Mesh, Data Contracts oder etwas anderes geht: Beim Thema Verantwortlichkeit muss klar zwischen fachlicher und rechtlicher Ownership unterschieden werden. So ist etwa ein Data Product Owner für die fachliche Qualität und Verständlichkeit der Daten verantwortlich, während ein rechtlicher Data Owner für die gesetzeskonforme Bereitstellung und Freigabe haftet.

Unternehmen, die Data Mesh, Data Contracts und klare Ownership verankern, verwandeln die Pflicht zum Dateninventar in eine belastbare Datenplattform.

Datenhoheit zurückgewinnen – Chancen für Nutzende von IoT-Geräten

Aktuell erhalten viele Betreibende ihre erzeugten Maschinendaten nur gegen einen hohen Aufpreis oder gar nicht. Dadurch bleiben Effizienz- und Innovationspotenziale ungenutzt. Der EU Data Act will das ändern, indem er die Nutzung der Daten aus den Silos der datenhaltenden Unternehmen ermöglicht und somit demokratisiert.

Konkret erzwingt der Data Act einen grundsätzlich kostenlosen und, sofern technisch umsetzbar, kontinuierlichen Zugang für Nutzende von vernetzten Geräten zu ihren Daten. Datenhaltende Unternehmen sind verpflichtet, ihren Kunden die Daten in einem gängigen technischen Format für eigene KI-, Wartungs- oder Analysezwecke anzubieten. Ein Dateninventar macht transparent, welche Daten wie verfügbar sind.

Nicht-personenbezogene Daten dürfen vom nutzenden Unternehmen prinzipiell frei verarbeitet werden. Dies gilt auch für eigene Optimierungen oder neue Produkte, solange dabei keine Geschäftsgeheimnisse oder wirtschaftlich sensiblen Informationen des anbietenden Unternehmens oder dessen Technologiepartner offengelegt oder unzulässig genutzt werden. Für Dritte, an die ein Unternehmen Daten weitergibt, gelten deutlich strengere Einschränkungen. So ist es ihnen beispielsweise nicht erlaubt, die Daten zur Entwicklung eines konkurrierenden, vernetzten Produkts zu nutzen. Dies kann auch ein legitimer Grund für eine Verweigerung der Herausgabe sein.

Wie deutlich wird, eröffnet der EU Data Act ein enormes Potenzial für Unternehmen, die vernetzte Produkte nutzen. Die dabei entstehenden Nutzungsdaten können künftig gezielt abgerufen und ausgewertet werden – etwa zur Optimierung von Prozessen, Produkten oder Investitionsentscheidungen. Daten sollten schon heute die Grundlage für unternehmerische Entscheidungen bilden. Der Data Act schafft die Möglichkeit, diese Grundlage systematisch auszubauen und zu verfeinern.

Doch das geschieht nicht automatisch: Datengetriebenes Arbeiten erfordert passende organisatorische und technische Strukturen – und muss fester Bestandteil der Unternehmenskultur sein. Mitarbeitende benötigen Data Literacy, um Daten sinnvoll zu interpretieren und verantwortungsvoll zu nutzen.

Ansätze wie die im letzten Abschnitt genannten Data-Mesh-Architektur und Data Contracts können dabei helfen, diese Kompetenzen und kulturellen Strukturen zu fördern, indem sie intern und extern gewonnene Daten verfügbar, nutzbar und verständlich machen. Es sind jedoch auch gezielte Maßnahmen erforderlich, wie der Aufbau von Tool-Kompetenz, kontinuierliche Schulungen und die aktive Förderung eines Kulturwandels hin zum datengetriebenen Arbeiten.

Übrigens: Die durch den Data Act gestärkte Souveränität betrifft nicht nur die Nutzung vernetzter Produkte. Auch der Wechsel von Cloud-Anbietern soll durch klare Regeln für Datenportabilität, Interoperabilität und Vertragslaufzeiten erleichtert werden.

Mehr dazu erfahren Sie im Beitrag “EU-Datenverordnung: Der Anfang vom Ende der Cloud-Monokultur?” von Daniel Bornkessel in dieser Ausgabe des INNOQ Technology Briefings.

  1. Mehr zur Data–Mesh–Architektur findet man unter www.datamesh–architecture.com.  ↩

  2. Auch zu Data Contracts bieten wir weiterführende Informationen unter www.datacontract.com.  ↩

Fazit

Struktur bringt Souveränität

Dateninventare sind mehr als nur ein Compliance-Häkchen. Bei richtiger Umsetzung liefern sie Transparenz über alle IoT- und Maschinendaten, ermöglichen kürzere Innovationszyklen dank verlässlicher Schnittstellen und schaffen Wettbewerbsvorteile durch datengetriebene Geschäftsmodelle.

Wer strukturiert, gewinnt Kontrolle.

Wer standardisiert, gewinnt Anschlussfähigkeit.

Wer frühzeitig Strukturen für datengetriebenes Arbeiten schafft, wird unabhängiger vom Hersteller und stärkt somit die digitale Souveränität.

TAGS