Ab dem 12. September 2026 greifen die Design-Pflichten des EU Data Act (Verordnung (EU) 2023/2854) für alle neu in Verkehr gebrachten vernetzten Produkte. Wer Smart-Home-Geräte, Wearables, Connected Cars oder andere IoT-Produkte über einen Online-Shop vertreibt, muss bis dahin Datenzugangsrechte, vorvertragliche Informationspflichten und B2B-Vertragsklauseln angepasst haben. Der deutsche IoT-Markt wächst laut Statista von 32,74 Mrd EUR (2025) auf 44,94 Mrd EUR (2029) - die Reichweite der Verordnung ist entsprechend hoch. In diesem Leitfaden zeigen wir, was E-Commerce-Betreiber jetzt konkret umsetzen müssen, welche Fristen gelten und wie ein praxisnaher Compliance-Plan aussieht.
Was der EU Data Act regelt
Die Verordnung (EU) 2023/2854 - bekannt als EU Data Act - trat am 11. Januar 2024 in Kraft. Ihre Hauptanwendung begann am 12. September 2025 mit den Datenzugangsrechten aus Art. 4 und 5, den B2B-Klauselregeln aus Art. 13 und den Cloud-Switching-Regelungen aus Art. 23-31 (EUR-Lex).
Kernziel des Data Act ist ein fairerer Zugang zu Daten, die durch die Nutzung vernetzter Produkte entstehen. Hersteller dürfen nutzungsgenerierte Daten nicht mehr exklusiv für sich behalten. Nutzer - sowohl Verbraucher als auch Unternehmen - erhalten das Recht, diese Daten unverzüglich, kostenlos, in einem maschinenlesbaren Format und gegebenenfalls in Echtzeit abzurufen oder an Dritte weiterzugeben (Art. 3 Abs. 1).
Für E-Commerce-Betreiber ist das mehr als ein Thema der Hersteller: Sie stehen an der Schnittstelle zwischen Hersteller, Produkt und Endkunde und übernehmen damit Informations-, Hinweis- und teils auch Prozesspflichten.
Der Data Act reguliert sowohl personenbezogene als auch nicht-personenbezogene Daten aus der Produktnutzung. Bei Überschneidungen mit der DSGVO gilt die DSGVO vorrangig für personenbezogene Daten. Für Sensordaten, Geräte-Logs oder Betriebsparameter ohne Personenbezug ist der Data Act die zentrale Grundlage.
Wer betroffen ist: Connected Products
Ein vernetztes Produkt im Sinne des Data Act ist jedes Gerät, das Daten über seine Nutzung oder Umgebung erfasst, erzeugt oder kommuniziert - sei es per WLAN, Mobilfunk, Bluetooth oder über verbundene Dienste. Typische Kategorien im Online-Handel:
- Smart Home - Beleuchtung, Heizungssteuerung, smarte Steckdosen, Kameras, Sprachassistenten (laut Bitkom nutzen 46 Prozent der DE-Haushalte Smart-Home-Anwendungen, über 30 Millionen Menschen)
- Wearables - Fitness-Tracker, Smartwatches, Health-Gadgets
- Connected Vehicles - vernetzte Fahrrad- und Auto-Komponenten, Telematik-Dongles (Automotive ist mit 8,25 Mrd EUR 2025 größter deutscher IoT-Teilmarkt laut Statista)
- Smart Industry & Agriculture - vernetzte Werkzeuge, Sensoren, Landmaschinen
- Connected Appliances - Küchengeräte, Waschmaschinen, Staubsauger-Roboter
- Verbundene Dienste - Apps, Cloud-Backends und Portale, die Daten aus diesen Geräten verarbeiten
Laut Bitkom sind im Smart Home in DE vor allem Beleuchtung (37 %), Heizung (31 %) und smarte Steckdosen (26 %) verbreitet. Weltweit wuchs der IoT-Gerätebestand 2025 um 14 Prozent auf 21,1 Milliarden aktive Endpunkte (IoT Analytics). Der EU-Anteil am globalen IoT-Markt liegt 2026 bei rund 34,7 Prozent (MarketsandMarkets/Coherent), der EU-IoT-Technologiemarkt wächst von 246,63 auf 272,11 Mrd USD zwischen 2025 und 2030 (MarketsandMarkets).
Wichtig für die Einordnung: Nicht jedes Produkt mit einem Chip fällt unter die Verordnung. Entscheidend ist, ob es tatsächlich Daten über seine Nutzung, Umgebung oder Interaktion erzeugt und diese ganz oder teilweise kommuniziert. Ein einfacher Haushaltstoaster ohne Schnittstelle ist nicht erfasst - ein smarter Toaster mit App-Anbindung und Temperatur-Logging dagegen schon. Genauso relevant sind die related services: Eine Hersteller-App, die Geräte-Daten auswertet, ein Cloud-Dashboard für Wartung oder ein Portal für Verbrauchsanalysen. Sobald ein Shop solche Pakete vertreibt, wird die Information zu diesen Diensten Teil der vorvertraglichen Pflichten.
Drei Fristen, die 2026 wichtig sind
Der Data Act ist gestaffelt anwendbar. Für IoT-Shops sind vier Daten relevant, drei davon fallen in den kommenden zwölf Monaten:
| Datum | Was gilt | Konsequenz für Shops |
|---|---|---|
| 12.09.2025 | Hauptanwendung: Datenzugangsrechte Art 4/5, B2B-Klauseln Art 13, Cloud-Switching | Bereits in Kraft - AGB, Informationspflichten und Herstellervereinbarungen müssen Stand haben |
| 12.09.2026 | Design-Pflichten Art 3 für neu in Verkehr gebrachte vernetzte Produkte | Einkaufslisten anpassen: Produkte für EU-Markt nur noch von Herstellern, die Art 3 erfüllen |
| 12.01.2027 | Cloud-Switching komplett gebührenfrei (Art 29) | Backend-/Infrastruktur-Dienstleister ohne Wechselgebühren wählen, Vertraege prüfen |
| 12.09.2027 | Ausweitung Art 3 Abs 1 auf bestehende Produktkategorien (je nach delegierter Rechtsakte) | Bestandssortiment systematisch bis zu diesem Datum nachziehen |
Alle vernetzten Produkte, die ab diesem Datum erstmals in Verkehr gebracht werden, müssen Art. 3 erfüllen. Händler sollten frühzeitig von Herstellern eine Bestätigung einholen, dass Geräte, Apps und verbundene Dienste die Anforderungen der Verordnung technisch und dokumentarisch erfüllen.
Artikel 3: Design-by-Default
Artikel 3 ist das Herzstück des Data Act für die Produktseite. Vernetzte Produkte und die dazugehörigen Dienste müssen so gestaltet sein, dass Nutzer standardmäßig, einfach und sicher auf die bei der Nutzung erzeugten Daten zugreifen können - idealerweise direkt am Gerät oder über die App des Herstellers.
Design-by-Default bedeutet konkret: Der Datenzugang darf nicht hinter komplizierten Prozessen, kostenpflichtigen Freischaltungen oder proprietären Formaten versteckt werden. Technisch und organisatorisch muss der Zugriff werkseitig vorgesehen sein.
Direkter Zugang
Daten müssen - soweit technisch möglich - direkt am Gerät oder über die App abgerufen werden können, nicht nur über den Hersteller-Support
Maschinenlesbare Formate
Strukturierte, gängige Formate (z.B. JSON, CSV, offene APIs). Proprietäre Binärformate ohne Exportoption sind unzulässig
Kostenlos und in Echtzeit
Der Zugriff auf nutzungsgenerierte Rohdaten ist für den Nutzer kostenfrei und gegebenenfalls in Echtzeit bereitzustellen
Metadaten und Kontext
Zusätzlich zu den Rohdaten müssen Metadaten (Zeitstempel, Einheit, Kontext) mitgeliefert werden, damit die Daten nutzbar sind
Für Shops bedeutet das: Die Entwicklungsseite Ihrer angebundenen Händler-Apps oder Portale muss prüfen, ob eigene Schnittstellen oder Integrationen (z.B. Wartungsportale, After-Sales-Dienste) die Anforderungen nicht unterlaufen - etwa durch proprietäre Datenformate oder Medienbrüche. Auch eigene Google-AI-Mode-Sichtbarkeitsstrategien oder strukturierte Produktdaten für die Discovery-Phase lassen sich hier sauber integrieren - solange die Metadaten in einem offen dokumentierten Format abrufbar bleiben.
In der Praxis hat sich ein dreistufiges Vorgehen bewährt: Erstens die Datenarten-Kartierung pro Produktfamilie - Welche Sensoren, welche Ereignisse, welche Frequenz? Zweitens das Interface-Audit - Welche APIs, Apps oder Portale ermöglichen den Zugriff? Drittens die Dokumentations-Pipeline - Wie werden diese Informationen automatisch in Produktseiten, Datenblätter und AGB überfuehrt? Gerade der dritte Punkt ist bei großen IoT-Sortimenten entscheidend, damit die Pflege nicht per Copy & Paste erfolgt.
Artikel 4 und 5: Datenzugangsrechte
Artikel 4 regelt den Zugriff des Nutzers selbst. Wer ein vernetztes Produkt rechtmäßig nutzt, darf die bei der Nutzung erzeugten Daten vom Hersteller anfordern. Das gilt für Verbraucher genauso wie für gewerbliche Nutzer. Die Daten müssen unverzüglich und im Rahmen des technisch Möglichen in Echtzeit bereitgestellt werden.
Artikel 5 erweitert das auf die Weitergabe an Dritte - etwa einen unabhängigen Reparaturbetrieb, einen Analyse-Dienst oder einen Wettbewerber auf dem Aftermarket. Der Hersteller muss auf Verlangen des Nutzers die Daten an den benannten Dritten ausleiten. Wichtig: Die Daten dürfen nicht für die Entwicklung eines Produkts genutzt werden, das mit dem Originalprodukt konkurriert - eine wichtige Schranke gegen Reverse-Engineering.
Für die Weitergabe an Dritte gilt das FRAND-Prinzip nach Art. 8: Hersteller müssen Zugang zu fairen, angemessenen und nicht-diskriminierenden Bedingungen gewähren. Kleine und Kleinstunternehmen sind nach Art. 7 ausdrücklich von den Pflichten ausgenommen - ein entlastender Punkt für kleine Shop-Betreiber mit Eigenmarken.
Shop-Betreiber sind in der Regel nicht selbst Hersteller im Sinne des Data Act. Sie sollten aber im Kundenservice dokumentierte Prozesse haben, um Datenanfragen an den richtigen Hersteller weiterzuleiten und Kunden über ihre Rechte zu informieren.
Vorvertragliche Informationspflichten
Art. 3 Abs. 2 verlangt, dass der Nutzer vor Vertragsschluss klar und verständlich über die Datenverarbeitung informiert wird. Für Shops bedeutet das eine Ergänzung der Produktseiten und des Checkout-Flows um spezifische Informationen (IT-Recht-Kanzlei):
- Art und Format der Daten, die das Produkt erzeugt
- Geschätztes Volumen und Häufigkeit der Datenerzeugung
- Ob die Daten in Echtzeit erfasst werden und kontinuierlich erzeugt werden
- Wo die Daten gespeichert werden (Gerät, Hersteller-Cloud, Dauer der Speicherung)
- Wie der Nutzer Zugang zu seinen Daten erhält - technisch und organisatorisch
- Kontakt zu Beschwerdestelle und Aufsichtsbehörde
Praktisch lässt sich das über einen neuen Produktseiten-Block umsetzen, der entweder vom PIM-System gespeist oder pro Produktgruppe gepflegt wird. Ein Beispiel-Snippet für Shopware 6 zeigt die strukturierte Darstellung:
<section class="data-act-info" aria-labelledby="da-heading">
<h3 id="da-heading">Datenerfassung gemaess EU Data Act</h3>
<dl>
<dt>Art der Daten</dt>
<dd>{{ product.customFields.dataAct_type }}</dd>
<dt>Format</dt>
<dd>{{ product.customFields.dataAct_format }}</dd>
<dt>Erfassung</dt>
<dd>{{ product.customFields.dataAct_frequency }} (Echtzeit: {{ product.customFields.dataAct_realtime ? 'ja' : 'nein' }})</dd>
<dt>Speicherort</dt>
<dd>{{ product.customFields.dataAct_storage }}</dd>
<dt>Zugang zu Ihren Daten</dt>
<dd>{{ product.customFields.dataAct_access }}</dd>
<dt>Beschwerdestelle</dt>
<dd><a href="{{ product.customFields.dataAct_contact }}">{{ product.customFields.dataAct_contact }}</a></dd>
</dl>
</section>Der Block sollte sichtbar auf der Produktdetailseite platziert werden, nicht nur in den AGB. Die Infos lassen sich in der programmatischen Kategoriestruktur so modellieren, dass die Data-Act-Felder pro Produktgruppe wiederverwendet werden.
B2B-Vertraege: Blacklist und Greylist
Art. 13 etabliert für Datenbereitstellungsverträge im B2B-Bereich einen Katalog unzulässiger (Blacklist) und missbrauchsverdächtiger Klauseln (Greylist). Das betrifft sowohl Vertraege zwischen Shop und Hersteller als auch zwischen Shop und Datendienstleistern (z.B. Analytics-Anbieter für Connected Products).
| Klausel-Typ | Beispiel | Einordnung |
|---|---|---|
| Blacklist | Einseitiger Haftungsausschluss für Vorsatz oder grobe Fahrlässigkeit | Unzulässig - Klausel ist nichtig |
| Blacklist | Recht, Vertrag einseitig ohne sachlichen Grund zu ändern | Unzulässig |
| Blacklist | Ausschluss der Weitergabe von Daten an Dritte ohne Alternative | Unzulässig |
| Greylist | Begrenzung der Haftung auf voraussehbaren Schaden | Zulässig, wenn fair begründet - sonst unwirksam |
| Greylist | Festlegung langer Kündigungsfristen ohne Grund | Verdächtig - Einzelfallprüfung |
| Erlaubt | Individuell ausgehandelte, ausgewogene Datenlizenz | Zulässig |
Wer vernetzte Produkte ins Sortiment aufnimmt, sollte die Rahmenverträge mit Herstellern durchgehen und alle Klauseln, die den Zugriff auf Nutzerdaten einschränken, mit Blick auf Art. 13 prüfen. Parallel zu dieser Prüfung empfiehlt sich eine Aktualisierung der B2B-AGB - passend zu den kundenspezifischen Sortimenten gewerblicher Kunden.
Cloud-Switching: Portabilität ab 2027
Die Art. 23-31 regeln das Wechseln zwischen Cloud- und Edge-Diensten. Die Regelungen betreffen alle Anbieter von Datenverarbeitungsdiensten - von Hyperscalern bis zu spezialisierten Cloud-Lieferanten. Für Shop-Betreiber relevant, weil praktisch jede IoT-Plattform auf einer Cloud-Infrastruktur läuft.
Wechselfristen nach Art. 25: Die Kündigungsfrist für einen Wechselprozess darf maximal zwei Monate betragen. Der eigentliche Übergang muss innerhalb von maximal 30 Tagen abgeschlossen sein, in begründeten Ausnahmefällen bis zu sieben Monaten (Goodwin). Anbieter müssen funktionale Parallelnutzung ermöglichen, während der Wechsel läuft, und offene Schnittstellen bereitstellen.
Ab 12. Januar 2027 sind sämtliche Wechsel-Gebühren verboten (Art. 29, Greenberg Traurig). Bis dahin dürfen nur reine Aufwandskosten nach einem festen Abbau-Plan berechnet werden. Für IoT-Shops bedeutet das: Vertraege mit Backend-, Analytics- und Monitoring-Dienstleistern prüfen. Auch die Frage nach Funktionsparität ist relevant - Anbieter müssen technische Gleichwertigkeit beim Wechselziel gewährleisten.
Strafen und Enforcement
Art. 40 verweist für Verstöße gegen die Rechte natürlicher Personen auf den DSGVO-Sanktionsrahmen: bis zu 20 Mio EUR oder 4 % des weltweiten Jahresumsatzes, je nachdem welcher Wert höher ist. Für rein nicht-personenbezogene Daten legen die Mitgliedstaaten eigene Bußgeldrahmen fest. In Deutschland zeichnet sich ein gestaffeltes System ab (DLA Piper):
| Schweregrad | Beispiel-Verstoß | Bußgeld-Rahmen |
|---|---|---|
| Leicht | Fehlende oder unvollständige vorvertragliche Information | bis 50.000 EUR |
| Schwer | Verweigerter Datenzugang, unfaire B2B-Klauseln | bis 500.000 EUR |
| Gatekeeper-Verstoß | Marktbeherrschender Anbieter verletzt Art. 5/6 des DMA | bis 5 Mio EUR oder 2 % Weltumsatz |
| Personenbezug | Zusatzweise DSGVO-Verletzung durch Datenverweigerung | bis 20 Mio EUR oder 4 % Weltumsatz |
Die Durchsetzung erfolgt durch die benannten nationalen Aufsichtsbehörden, die ihre Rolle im Laufe von 2026 vollständig übernehmen. Für Shops ist das kein Randthema - bei DSGVO-relevanten Vorfällen können sich die Rahmen parallel addieren.
8-Punkte-Compliance-Plan für IoT-Shops
Wer seinen Shop praxisnah auf den 12. September 2026 vorbereiten will, kann die folgende Reihenfolge nutzen. Das ist kein Rechtsrat, sondern eine pragmatische Beratungs-Checkliste aus Projekten:
- Produktkatalog auditieren - Welche Artikel sind 'vernetzte Produkte' im Sinne des Data Act? Mit PIM-Flag markieren.
- Produktseiten ergänzen - Pflichtinfos nach Art. 3 Abs. 2 (Art, Format, Volumen, Echtzeit, Speicher, Zugang) strukturiert darstellen.
- AGB und Herstellervereinbarungen prüfen - Art. 13-Check der B2B-Klauseln, Data Protection Addenda aktualisieren.
- Hersteller-Abfrageprozess - Checkliste an Lieferanten: Erfüllt das Produkt Art. 3? Zugang direkt? FRAND-Konditionen für Dritte? Vorab schriftlich.
- Rückruf- und Reklamationsprozess erweitern - Service-Team schulen, wie Datenanfragen nach Art. 4/5 behandelt werden, Eskalationspfad zum Hersteller dokumentieren.
- DSFA aktualisieren - Datenschutz-Folgenabschätzung für Connected Products um Data-Act-Dimension erweitern, auch für nicht-personenbezogene Sensordaten.
- Einkaufs-Stichtag 12.09.2026 - Beschaffung nach diesem Datum nur noch von Herstellern mit nachweisbarer Art.-3-Konformität. Lieferantenerklärung einfordern.
- Drittzugriffs-Prozess Art. 5 - Klaeren, wie Ihr Shop mit Datenweitergabe-Anfragen von Drittanbietern umgeht (z.B. Reparaturwerkstätten, Versicherer) - Prozess, Formular, Dokumentation.
Händler, die transparent Data-Act-Infos auf den Produktseiten ausweisen, bauen Vertrauen auf - besonders im Zusammenspiel mit Themen wie Digital Product Passport, Recht auf Reparatur und nachvollziehbaren Green-Claims-Aussagen. Laut Bitkom sind 80 Prozent der DE-Bürger offen für KI-gestützte Smart-Home-Produkte, gleichzeitig sorgen sich 55 Prozent um Überwachung - klare Datenrechts-Info reduziert genau diese Skepsis.
Rechtsgrundlage: Verordnung (EU) 2023/2854 (EU Data Act, EUR-Lex). Marktdaten: Statista IoT-Ausblick DE (32,74 → 44,94 Mrd EUR, CAGR 8,26 %), Bitkom Smart-Home-Studie (46 % Nutzung, >30 Mio Nutzer, Beleuchtung 37 %, Heizung 31 %, Steckdosen 26 %), IoT Analytics (21,1 Mrd Geräte weltweit 2025, +14 %), MarketsandMarkets & Coherent Market Insights (EU IoT-Marktanteil 34,7 % in 2026, Technologiemarkt 246,63 → 272,11 Mrd USD 2025-2030), OMR IoT Report 2025. Rechtsanalyse: Eversheds Sutherland (Art. 50 - Staffelung 2026/2027), Greenberg Traurig (Art. 29 - Cloud-Switch gebührenfrei 2027), Goodwin (Art. 25 - Wechselfristen), DLA Piper (Art. 40 - Sanktionen), IT-Recht-Kanzlei (Art. 3 Abs. 2 - Informationspflichten).
Compliance jetzt einplanen, nicht aufschieben
Der Data Act ist kein abstraktes Compliance-Thema, sondern beruehrt Produktdatenpflege, Checkout, AGB, Cloud-Architektur und den Kundenservice gleichermaßen. Wer den 12. September 2026 als internen Projekt-Meilenstein setzt - parallel zu Themen wie Widerrufsbutton-Umsetzung, SEPA Instant Payments, NIS2 und PPWR - schafft einen belastbaren Compliance-Pfad statt reiner Einzelmaßnahmen.
Wir unterstützen Sie pragmatisch: vom Produktkatalog-Audit über die Umsetzung der Produktseiten-Blocks und Shopware-Anpassungen bis zur Hersteller-Kommunikation und der Anbindung an modernere Shopware-Frontends oder First-Party-Daten-Strategien.
In der Regel sind Hersteller, Anbieter vernetzter Produkte und Datenverarbeitungsdienste die primären Normadressaten. Händler treffen aber mittelbar Pflichten - insbesondere vorvertragliche Informationspflichten aus Art. 3 Abs. 2, die im Shop umgesetzt werden müssen, sowie die Weitergabe von Datenanfragen an den richtigen Hersteller. Wer Eigenmarken vertreibt oder Produkte unter eigenem Namen vermarktet, gilt als Hersteller und muss Art. 3 selbst erfüllen.
Ab diesem Datum müssen alle neu in Verkehr gebrachten vernetzten Produkte und verbundene Dienste die Design-Pflichten aus Art. 3 erfüllen: standardmäßiger, einfacher und sicherer Datenzugang für Nutzer, maschinenlesbare Formate, kostenfreier Zugriff auf Rohdaten und Metadaten. Bestandsprodukte müssen erst zum 12. September 2027 nachziehen - und nur für bestimmte, durch delegierte Rechtsakte benannte Produktkategorien.
Art. 3 Abs. 2 verlangt klare und verständliche Informationen vor Vertragsschluss zu: Art und Format der erzeugten Daten, geschätztem Volumen und Häufigkeit, Echtzeit-Erfassung, Speicherort und -dauer, Zugangsweg für den Nutzer sowie Kontakt zur Beschwerdestelle. Diese Angaben gehören auf die Produktdetailseite - nicht nur in die AGB. Ein eigener Accordion- oder Reiter-Bereich mit strukturierter Darstellung hat sich bewährt.
Art. 7 der Verordnung nimmt Kleinst- und kleine Unternehmen ausdrücklich aus, solange sie nicht Teil einer größeren Unternehmensgruppe oder beauftragter Dienstleister sind. Die Schwellen orientieren sich an der KMU-Definition der EU (weniger als 50 Mitarbeitende, Jahresumsatz bis 10 Mio EUR). Wer darueber liegt - auch als Eigenmarken-Händler - muss die Pflichten vollständig umsetzen. Unabhängig davon können vorvertragliche Informationspflichten über das allgemeine UWG weiterhin relevant sein.
Alle Anbieter von Datenverarbeitungsdiensten (Cloud-, Edge-, Plattform-Services) müssen den Wechsel zu einem anderen Anbieter technisch und organisatorisch ermöglichen. Kündigungsfrist max. zwei Monate, Übergangsphase max. 30 Tage (in Ausnahmefällen bis sieben Monate), offene Schnittstellen und Funktionsparität sind Pflicht. Ab dem 12. Januar 2027 sind Wechselgebühren komplett verboten. Für IoT-Shops ist das Anlass, Vertraege mit Backend-, Analytics- und Monitoring-Dienstleistern aktiv auf diese Regelungen hin zu prüfen.
Bei Verstößen, die personenbezogene Daten betreffen, gilt der DSGVO-Rahmen: bis zu 20 Mio EUR oder 4 Prozent des weltweiten Jahresumsatzes. Für rein nicht-personenbezogene Daten setzen die Mitgliedstaaten eigene Rahmen; in Deutschland zeichnet sich eine Staffelung ab - bis 50.000 EUR bei leichten Verstößen, bis 500.000 EUR bei schweren Verstößen gegen Datenzugangsrechte und unfaire B2B-Klauseln, bis 5 Mio EUR oder 2 Prozent Weltumsatz für Gatekeeper-Plattformen. Eine frühzeitige, dokumentierte Umsetzung reduziert das Risiko deutlich.