Der EU Data Act: Was er für Ihr Unternehmen bedeutet

Der EU Data Act, der im Januar 2024 in Kraft trat und ab September 2025 anwendbar wird, stellt eines der bedeutendsten Datenschutzgesetzgebungswerke seit der GDPR dar. Während sich ein Großteil der öffentlichen Diskussion auf seine Auswirkungen für IoT-Hersteller und Cloud-Wechselrechte konzentriert hat, hat das Gesetz tiefgreifende Konsequenzen dafür, wie europäische Unternehmen ihre Kollaborationsinfrastruktur auswählen und steuern.

Was der Data Act tatsächlich verlangt

Im Kern legt der Data Act Regeln darüber fest, wer auf Daten zugreifen und sie nutzen darf, die von vernetzten Produkten und zugehörigen Diensten erzeugt werden. Für Enterprise-Kollaborationsplattformen sind mehrere Bestimmungen besonders relevant.

Erstens verankert das Gesetz das Recht, ohne unangemessene Verzögerung, übermäßige Gebühren oder Datenverlust zwischen Cloud-Dienstanbietern zu wechseln. Das bedeutet, dass Organisationen in der Lage sein müssen, ihre Daten — Nachrichten, Dateien, Anrufaufzeichnungen, Metadaten — von einer Plattform zu extrahieren und auf eine andere zu migrieren. Anbieter, die Kunden durch proprietäre Datenformate oder künstliche Exportbarrieren binden, werden sich auf der falschen Seite der Regulierung wiederfinden.

Zweitens führt das Gesetz Schutzmaßnahmen gegen unrechtmäßige internationale Datenübermittlungen ein. Artikel 27 verlangt ausdrücklich, dass Cloud-Dienstanbieter angemessene technische, rechtliche und organisatorische Maßnahmen ergreifen, um den Zugriff einer Regierung auf nicht-personenbezogene Daten, die in der EU gehalten werden, zu verhindern, wenn ein solcher Zugriff im Konflikt mit EU-Recht stünde. Diese Bestimmung adressiert direkt die Spannung, die durch den US CLOUD Act entsteht, der es amerikanischen Behörden erlaubt, Daten von US-Unternehmen zu verlangen, unabhängig davon, wo sie gespeichert sind.

Drittens schreibt das Gesetz Interoperabilitätsanforderungen für Datenverarbeitungsdienste vor und legt die Grundlage dafür, dass Kunden mehrere Dienste in Kombination ohne künstliche Barrieren nutzen können.

Warum dies für Kollaborationswerkzeuge wichtig ist

Betrachten Sie den typischen Stack für Unternehmenskollaboration: Videokonferenzen, Messaging, Dateifreigabe und zunehmend KI-gestützte Funktionen wie Transkription und Zusammenfassung. Diese Werkzeuge verarbeiten enorme Mengen sensibler Daten — strategische Diskussionen, Personalangelegenheiten, finanzielle Beratungen, juristische Beratung, geistiges Eigentum.

Unter dem Data Act tragen Organisationen die Verantwortung dafür, sicherzustellen, dass ihre Kollaborationsanbieter die Datenschutzmaßnahmen nachweislich einhalten können. Das geht über das Abhaken eines Kästchens in einem Lieferantenbewertungsformular hinaus. Es erfordert das Verständnis der rechtlichen Jurisdiktion des Anbieters, seiner technischen Architektur für die Datenisolation und seiner Fähigkeit, Zugriffsanforderungen ausländischer Regierungen zu widerstehen.

Für viele europäische Organisationen schafft dies eine unangenehme Erkenntnis. Die dominanten Kollaborationsplattformen werden von Unternehmen mit Hauptsitz in den USA betrieben. Unabhängig davon, wo sie ihre Rechenzentren platzieren, bleiben diese Unternehmen dem CLOUD Act und anderen US-Rechtsinstrumenten unterworfen, die Offenlegung erzwingen können.

Die praktische Compliance-Checkliste

Basierend auf unserer Lektüre des Gesetzes und Gesprächen mit Compliance-Teams aus europäischen Unternehmen, hier was Organisationen in ihren Kollaborationswerkzeugen bewerten sollten.

Datenportabilität. Können Sie alle Ihre Daten — Nachrichten, Dateien, Metadaten, Benutzerverzeichnisse, Anrufaufzeichnungen — in standardisierten, dokumentierten Formaten exportieren? Gibt es eine API für die automatisierte Extraktion? Was geschieht mit Ihren Daten, wenn Sie den Vertrag kündigen?

Klarheit der Jurisdiktion. Wo ist der Anbieter eingetragen? Welche rechtliche Jurisdiktion regelt den Dienst? Könnte eine ausländische Regierung den Anbieter zwingen, Ihre Daten herauszugeben? Gibt es eine Tochterstruktur, die eine indirekte ausländische Jurisdiktion schaffen könnte?

Technische Schutzmaßnahmen. Bietet die Plattform Ende-zu-Ende-Verschlüsselung an? Wenn ja, wer hält die Schlüssel? Können Sie Ihre eigenen Verschlüsselungsschlüssel mitbringen? Ist die Verschlüsselungsarchitektur dokumentiert und prüfbar?

Infrastruktursouveränität. Wo befinden sich die Daten physisch? Wer betreibt die zugrunde liegende Cloud-Infrastruktur? Unterliegt der Cloud-Anbieter selbst einer ausländischen Jurisdiktion?

Wechselkosten. Was wäre nötig, um zu einer alternativen Plattform zu migrieren? Gibt es vertragliche Strafen? Unterstützt der Anbieter Standardprotokolle und -formate?

Interoperabilität. Kann die Plattform mit anderen Werkzeugen in Ihrem Stack ohne proprietäre Bindung integriert werden? Unterstützt sie offene Standards?

Wie Mandraki diese Anforderungen erfüllt

Wir haben Mandraki von Anfang an mit den Prinzipien des Data Act im Blick gebaut, nicht als nachträgliche Anpassung.

Alle Daten befinden sich auf einem in europäischem Besitz befindlichen Hyperscaler, der ausschließlich der EU-Jurisdiktion unterliegt. Mandraki selbst ist ein europäisches Unternehmen ohne US-Mutter- oder Tochtergesellschaft. Unsere dreischichtige Verschlüsselungsarchitektur, einschließlich Bring-Your-Own-Key-Unterstützung, stellt sicher, dass Organisationen kryptografische Kontrolle über ihre Daten behalten. Vollständiger Datenexport ist über dokumentierte APIs verfügbar. Und unser organisationsübergreifendes Föderationsprotokoll baut auf offenen, dokumentierten Standards auf.

Wir behaupten nicht, dass Compliance jemals einfach ist. Die regulatorische Landschaft ist komplex und entwickelt sich weiter. Aber wir glauben, dass der Beginn mit den richtigen architektonischen und juristischen Grundlagen Compliance erreichbar statt nur erstrebenswert macht.

Ausblick

Der Data Act ist Teil einer umfassenderen europäischen Digitalstrategie, die den AI Act, den Digital Markets Act, den Digital Services Act, NIS2 und DORA umfasst. Zusammen verändern diese Regulierungen die Erwartungen, die an Technologieanbieter in Europa gestellt werden.

Für europäische Organisationen ist die Botschaft klar: Die Werkzeuge, die Sie für die tägliche Zusammenarbeit verwenden, sind keine reine IT-Beschaffungsentscheidung mehr. Sie sind eine Compliance-Entscheidung, eine Risikomanagement-Entscheidung und zunehmend eine strategische Entscheidung über digitale Autonomie.

Die gute Nachricht ist, dass das europäische Technologie-Ökosystem schnell reift. Souveräne Cloud-Infrastruktur ist verfügbar. Konforme Kollaborationswerkzeuge existieren. Der Weg nach vorn erfordert nicht, darauf zu warten, dass amerikanische Anbieter sich an europäische Regeln anpassen. Er erfordert die Wahl europäischer Lösungen, die von Anfang an für sie gebaut wurden.