EU Data Act und der Cyber Resilience Act

Marcus Götting, Leiter Competence Center IoT, und Philipp Schneidenbach, Principal Enterprise Architect, von Materna über die größten Herausforderungen, praktische Umsetzungsschritte und die Chancen für Unternehmen und Behörden.

EU Data Act und Cyber Resilience Act: Das Ende des digitalen Wilden Westens

Seit dem 12. September 2025 ist der EU Data Act vollständig anwendbar. Parallel dazu steht der Cyber Resilience Act (CRA) vor seinem baldigen Inkrafttreten. Beide Regelwerke verändern die europäische Datenwirtschaft grundlegend: Daten sollen künftig freier fließen – aber sicher. Wir sprechen mit Marcus Götting, Leiter Competence Center IoT, und Philipp Schneidenbach, Principal Enterprise Architect, von Materna über die größten Herausforderungen, praktische Umsetzungsschritte und die Chancen für Unternehmen und Behörden. 

Der EU Data Act gilt nun seit einigen Wochen. Wie erleben Sie die Stimmung in den Unternehmen? 

Philipp Schneidenbach: 
Die erste Wahrnehmung ist eindeutig: Bürokratie. Viele Unternehmen empfinden den Data Act zunächst als zusätzliche Belastung. Gleichzeitig verändert sich das Innovationsverständnis: Innovation bedeutet heute nicht mehr nur Funktionalität, sondern auch Rechte für diejenigen, die Daten nutzen. Für viele Unternehmen ist dies aber noch weit weg – oft wird erst einmal abgewartet, bis klar ist, was wirklich gilt.   

Marcus Götting: 
Das ist ein Problem: Wer wartet, bis alles final ist, fängt zu spät an. Beide Gesetze betreffen fast jedes Unternehmen – nicht nur große, auch mittelständische. Der Data Act gilt bereits seit dem 12. September, während der Cyber Resilience Act noch in der Übergangsphase ist. Viele Unternehmen lassen sich deshalb Zeit, doch das ist gefährlich: Die Umsetzung ist aufwendig und nichts, was man „zwischen zwölf und Mittag“ erledigt. 

Welche Branchen sind besonders betroffen? 

Marcus Götting: 
Im Grunde ist es kein klassisch branchenspezifisches Thema. Der Data Act betrifft alle Unternehmen, die Daten erzeugen, speichern oder weiterverarbeiten. Besonders stark sind Hersteller von vernetzten Geräten, also IoT-Produkten, betroffen. Beim Cyber Resilience Act geht es eher um IT-Produkte, Software und Hardware. Das betrifft auch Unternehmen, die Software in eigenen Produkten einsetzen oder weiterverkaufen – der Anwendungsbereich ist also deutlich breiter, als viele denken. 

Philipp Schneidenbach: 
Ich finde, beim Cyber Resilience Act wird oft unterschätzt, dass er nicht nur für „klassische“ IT gilt, sondern auch für viele industrielle Anwendungen, beispielsweise Steuerungen und Automationsplattformen, die bisher kaum jemand im Blick hatte. Im Fall des Data Act sind die Branchen am stärksten betroffen, die gar nicht ausweichen können – also Unternehmen mit vielen vernetzten Produkten und laufenden Kundenbeziehungen. Je mehr smarte Geräte und Kundendaten, desto direkter trifft das Unternehmen der Data Act. 

Worin liegen dann aus Ihrer Sicht die größten Herausforderungen, die auf Unternehmen zukommen? 

Marcus Götting: 
Das größte Thema ist Transparenz. Viele Unternehmen wissen gar nicht, welche Daten sie wo liegen haben – geschweige denn, wer darauf zugreifen darf. Für den Data Act braucht man eine saubere Dateninventur. Beim Cyber Resilience Act kommt dann noch das ganze Thema Nachweisbarkeit und Sicherheit hinzu – also Governance, Prozesse und Dokumentation. 

Philipp Schneidenbach: 
Und das ist nicht nur technisch, sondern auch organisatorisch eine Herausforderung.  
Viele Unternehmen haben keine durchgängige Prozessdokumentation. Da muss man sich fragen: Wer ist verantwortlich, wie werden Änderungen nachverfolgt, welche Abhängigkeiten gibt es? Diese Transparenz herzustellen, ist der Schlüssel, aber das bedeutet viel Arbeit. 

Viele Unternehmen empfinden die neuen Gesetze als Belastung. Welche Chancen sehen Sie? 

Philipp Schneidenbach: 
Wenn Hersteller wie im Fall des Cyber Resilience Act gezwungen sind, ihre Produkte über längere Zeit mit Updates zu versorgen, führt das zu mehr Nachhaltigkeit. Wir verabschieden uns hoffentlich von der Wegwerfmentalität. Produkte werden wieder langlebiger – das passt auch gut zu Initiativen wie dem EU Green Deal oder dem Right to Repair. Am Ende profitieren alle: die Verbraucherinnen und Verbraucher, weil sie sicherere und haltbarere Produkte bekommen, und die Hersteller, weil sie sich über Qualität und Service differenzieren können. 

Marcus Götting: 
Sobald Firmen beginnen, neue Services rund um den Data Act aufzubauen, wird es richtig spannend. Es entstehen ganz neue Geschäftsmodelle. Serviceunternehmen oder Drittanbieter könnten die Daten für den Endnutzer bündeln und aufbereiten und darauf basierende Predictive-Maintenance-Dienste anbieten: Sie analysieren die gesammelten Daten und melden frühzeitig, wann eine Maschine gewartet werden sollte. Und das ist genau das, was die EU mit dem Data Act fördern will. 

Inwiefern ergänzen sich der Data Act und der Cyber Resilience Act? 

Philipp Schneidenbach: 
Beim Cyber Resilience Act geht es im Kern um Produktsicherheit – also darum, dass Hersteller genau wissen, was in ihren Produkten steckt, und dass sie deren Lebenszyklus aktiv managen. Ich vergleiche das gerne mit einer Zutatenliste auf einer Lebensmittelpackung: In Zukunft wird man auf Geräten oder Verpackungen sehen, was drin ist, welche Software-Komponenten enthalten sind und wie lange Sicherheitsupdates garantiert werden. Der Data Act dagegen zielt auf die Nutzung und Verfügbarkeit von Daten. Er sorgt dafür, dass Dritte – also z. B. Nutzer oder Dienstleister – auf die von Produkten erzeugten Daten zugreifen können. Während der Data Act also das Recht auf Zugriff regelt, kümmert sich der Cyber Resilience Act darum, dass Entwicklung, Betrieb und Wartung von Produkten sicherer und transparenter erfolgen. 

Marcus Götting: 
Die beiden Regelwerke haben unterschiedliche Ziele. Man kann sagen: Der Data Act öffnet die Tür, der Cyber Resilience Act sorgt dafür, dass das Schloss funktioniert. 

Der CRA verpflichtet Hersteller, Sicherheitsupdates über Jahre bereitzustellen. Welche Auswirkungen hat das auf den Markt? 

Philipp Schneidenbach: 
Das wird den Markt deutlich verändern. Produkte werden teurer, und ihre Lebenszyklen verändern sich – zunächst werden viele Geräte abgekündigt, um Platz für neue, langlebigere Produkte zu schaffen. Gleichzeitig werden die neuen Produkte seltener, aber dafür nachhaltiger und sicherer auf den Markt kommen. Die Verarbeitungsqualität und Produktsicherheit, die wir in Europa gewohnt sind, werden jetzt auf das digitale Umfeld übertragen. 

Marcus Götting: 
Ein wichtiger Punkt ist, dass das CE-Kennzeichen künftig auch den Cyber Resilience Act beinhalten wird. Wer also Produkte mit CE-Kennzeichen verkauft, garantiert damit nicht nur elektrische Sicherheit, sondern auch digitale Sicherheit. Und das wirkt sich global aus. Auch beispielsweise ein chinesischer Hersteller muss seine Produkte so bauen, dass sie den europäischen Vorgaben entsprechen. Dadurch hebt sich der weltweite Standard. 

Philipp Schneidenbach: 
Das schützt uns letztlich vor gefährlicher oder minderwertiger Technologie. Diese Regulierungen sind also kein Selbstzweck, sondern sorgen dafür, dass Sicherheit und Qualität nicht nur einmalig beim Kauf, sondern dauerhaft gewährleistet sind. 

Wie wird sich die europäische Datenlandschaft durch Data Act und Cyber Resilience Act in den nächsten Jahren verändern? 

Marcus Götting: 
Der EU Data Act wird die europäische Datenlandschaft massiv verändern. Heute werden gerade einmal rund fünf Prozent der erfassten Daten tatsächlich genutzt – der Rest liegt in Silos, auf die niemand Zugriff hat. Ziel des Data Acts ist es, diese Daten zu öffnen und einer sinnvollen Weiterverarbeitung zugänglich zu machen. Das wird einen riesigen Einfluss haben, weil plötzlich eine ganz andere Menge an Informationen zur Verfügung steht und völlig neue datenbasierte Dienstleistungen entstehen können. Der Cyber Resilience Act spielt in diesem Zusammenhang eine geringere Rolle – er betrifft die technische Sicherheit, aber nicht die Datennutzung an sich. 

Philipp Schneidenbach: 
Man könnte sagen, der „Wilde Westen“ der Datennutzung endet. Bisher haben Unternehmen ein DSGVO-Dokument unterschreiben lassen und damit war alles abgedeckt. Künftig wird die Nutzung von Daten fairer und klarer geregelt. Es wird also das erste Mal wirklich regiert und nicht nur empfohlen. 

Wer sollte das im Unternehmen verantworten? 

Marcus Götting: 
Aus meiner Sicht liegt das beim Produktmanagement. Dort laufen die Fäden zusammen – ob man das intern macht oder externe Unterstützung holt, hängt von der Firmenstruktur ab. 

Philipp Schneidenbach: 
Und die Produktverantwortlichen müssen natürlich auf Architekten, Compliance und Legal zugreifen können. Wir sehen, dass sich diese internen Serviceabteilungen gerade stark verändern – IT-GRC (Governance, Risk, Compliance) und Enterprise Architecture Management wachsen zusammen. Gute Architekturabteilungen sind Servicebereiche, die das Geschäft einfacher machen. Und: Der Vorstand muss mitziehen. Ohne Rückendeckung von oben passiert nichts. Wenn das Thema nicht Chefsache ist, bleibt es bei Lippenbekenntnissen. 

Marcus Götting: 
Leider ist das oft so. In vielen Unternehmen kommt der Impuls von unten – also von Product Ownern oder Security-Managern – und nicht aus der Chefetage. Dabei sind es eigentlich die Vorstände, welche haftbar gemacht werden, wenn etwas schiefgeht. 

Wenn Sie Unternehmen eine einzige Empfehlung für die nächsten sechs Monate geben müssten – welche wäre das? 

Marcus Götting: 
Die wichtigste Empfehlung: Sofort anfangen. Nicht warten, bis es irgendwo brennt. Unternehmen sollten sich zunächst Klarheit über ihre Daten verschaffen. Welche Daten haben wir? Wo liegen sie? Welche sind geschäftskritisch? Das ist der erste Schritt in Richtung Data Act. Und beim Cyber Resilience Act gilt das Gleiche: Prozesse prüfen, analysieren, wo man schon compliant ist und wo die Lücken liegen. Eine ehrliche Bestandsaufnahme ist der Anfang. 

Philipp Schneidenbach: 
Und bitte nicht alles auf einmal – aber das, was man tut, richtig und unternehmensweit. Viele Firmen dokumentieren ihre Prozesse nur alle paar Jahre für den Auditor. Besser ist, die Prozess- und Systemlandschaft kontinuierlich zu pflegen und zu wissen, welche Anwendungen mit welchen Drittsystemen verbunden sind. Nur dann entsteht die Transparenz, die man für Data Act und Cyber Resilience Act braucht. 

Die Interview-Partner

Interviewpartner: Marcus Götting, Leiter Competence Center IoT, (links) und  Philipp Schneidenbach, Principal Enterprise Architect, Materna (rechts)

Ebenfalls interessant

EU AI Act

Wie KI die Wirtschaft und öffentliche Verwaltung revolutioniert

Der Cyber Resilience Act

Was Hersteller digitaler Produkte jetzt wissen müssen

Alle Artikel dieser Ausgabe

Monitor
Cyber Security
25.11.2025
Prompt Injection

Über die Sicherheit von Sprachmodellen.

Weiterlesen
Monitor
Public Sector
25.11.2025
Intelligente Verwaltung: KI beim ITZBund

Mehr Effizienz in der Verwaltung dank KI

Weiterlesen
Monitor
Life @ Materna
21.11.2025
Menschen bei Materna

Impulse, die verbinden - Impressionen von diesen besonderen Momenten

Weiterlesen
Monitor
Data & AI
Cyber Security
21.11.2025
SecurePIM

Daten-Souveränität heißt, dass keine Information das Gerät verlässt, ohne dass die Organisation das will oder weiß.

Weiterlesen
Monitor
Verwaltung Digital
Data & AI
Public Sector
Justiz
21.11.2025
Law2Logic

Mit dem KI-Assistenten Law2Logic zeigt Materna eindrucksvoll, wie Gesetze und Normen digitaltauglich werden.

Weiterlesen
Monitor
Data & AI
Public Sector
21.11.2025
KI beim ITZBund

Mehr Effizienz in der Verwaltung dank KI

Weiterlesen
Monitor
Think ahead
Data & AI
21.11.2025
Bewerbungsmanagement

Schnell, souverän, fair und rechtssicher: Wie KI-Agenten das Recruiting revolutionieren

Weiterlesen
Monitor
Think ahead
Verwaltung Digital
Transport und Logistik
Defence
21.11.2025
Military Mobility

Digitale Logistik als strategischer Faktor

Weiterlesen
Monitor
Europe
Resilience
Public Sector
21.11.2025
EU Data Act und der Cyber Resilience Act

Die größten Herausforderungen, praktische Umsetzungsschritte und die Chancen für Unternehmen und Behörden.

Weiterlesen
Monitor
Verwaltung Digital
Data & AI
Public Sector
21.11.2025
AI Transformation

Erfahren Sie, wie Unternehmen und Behörden KI effektiv, souverän und zukunftsfähig einsetzen können.

Weiterlesen
Monitor
Cyber Security
21.11.2025
Human Firewall

Ein Gespräch über die Human Firewall, KI, Live-Hacking und die Kunst, Sicherheit mit Humor zu vermitteln

Weiterlesen
Monitor
Data & AI
21.11.2025
Datenmonetarisierung

Darum ist warten teurer als starten

Weiterlesen
Monitor
Data & AI
21.11.2025
KI-Schulungen für Mitarbeiter

Spätestens mit dem EU AI Act wird klar: KI-Kompetenz ist keine Kür mehr, sondern Pflicht.

Weiterlesen
Monitor
Resilience
Sustainability
21.11.2025
Resilienztag 2025

Krisen lassen sich nicht verhindern – aber besser bewältigen

Weiterlesen
Monitor
Data & AI
21.11.2025
Digitale Souveränität

Über den Umgang mit amerikanischer Dominanz

Weiterlesen
Monitor
Data & AI
21.11.2025
Physical AI

Europas industrielle Antwort auf den KI-Hype

Weiterlesen
Monitor
Sustainability
Data & AI
21.11.2025
Digitale Souveränität: Was ist das überhaupt?

Digitale Souveränität wird zum Schlüsselbegriff unserer Zeit.

Weiterlesen