AIGN OS – Data Act & KI-Governance Readiness Check v2

🏢

SEKTION 01 / 08

Organisationsrolle & Geltungsbereich

Rollenbestimmung unter dem EU Data Act – Dateninhaber, Verarbeiter, Empfänger

0 / 6

▾

ℹ Der EU Data Act ist seit 12. September 2025 grundsätzlich anwendbar und gilt als direkt wirksames EU-Recht. Viele Unternehmen sind gleichzeitig Dateninhaber, Verarbeiter und Datenempfänger – alle drei Rollen können unterschiedliche Pflichten auslösen. Die Rollenbestimmung ist rechtlich bindend.

Rollenbestimmung (Art. 2 DA)

Wir produzieren oder vertreiben vernetzte Produkte (IoT, Maschinen, Fahrzeuge, Haushaltsgeräte, Industrieanlagen)

Dateninhaber-Pflichten nach Art. 3–6 DA werden unmittelbar ausgelöst

→ Art. 2 Nr. 5, 13 DA

+5

Wir erbringen Datenverarbeitungsdienste für andere (Cloud, IaaS, PaaS, SaaS, Edge)

Pflichten zu Cloud-Switching und Interoperabilität nach Art. 23–31 DA

→ Art. 2 Nr. 8 DA

+5

Wir sind Datenempfänger – wir nutzen Daten, die uns von Dritten zur Verfügung gestellt werden

→ Art. 2 Nr. 14 DA

+4

Unsere spezifische Rollenkonstellation (Inhaber / Verarbeiter / Empfänger) wurde rechtlich bewertet und dokumentiert

Doppelrollen sind häufig und verändern die Pflichtenlage erheblich

+5

Eine zuständige Person / Funktion für Data Act-Compliance ist benannt (intern oder extern)

+4

KMU-Ausnahmen wurden geprüft: Kleinstunternehmen/Kleinunternehmen sind von Design-Pflichten befreit (sofern keine verbundenen Unternehmen > KMU-Schwelle)

→ Art. 7 DA

+3

📊

SEKTION 02 / 08

Data Act Kernpflichten – IoT & Datenzugang

Design Obligation, Datenzugangspflichten, Weitergabe an Nutzer und Dritte (Kap. II DA)

0 / 9

▾

⚠ Die Design Obligation (Art. 3 DA) gilt für alle vernetzten Produkte, die nach dem 12. September 2026 in Verkehr gebracht werden. Neue Produkte müssen ab Werk mit direktem, kostenlosem, maschinenlesbarem Datenzugang konstruiert sein. Bestehende Produkte: Weitergabepflicht ab sofort.

Design Obligation & Datenzugang

Neue IoT-Produkte (ab Sept. 2026) werden so konstruiert, dass Nutzer direkt, kostenlos und in Echtzeit auf ihre Gerätedaten zugreifen können – ohne Eingriff des Herstellers

Maschinenlesbares Format, inkl. relevanter Metadaten (Art. 3 Abs. 1 DA)

→ Art. 3 Abs. 1 DA / Design Obligation

+6

Vorvertragliche Informationspflichten sind umgesetzt: Nutzer werden vor Kauf/Miete/Leasing über Art, Format und Umfang der generierten Daten informiert

→ Art. 3 Abs. 2, 3 DA

+5

Datenweitergabe an Nutzer (indirekter Zugang, Art. 4 DA): unverzüglich, kostenlos, umfassend, maschinenlesbar – operativer Prozess ist implementiert

→ Art. 4 Abs. 1 DA

+6

Datenweitergabe an vom Nutzer bestimmte Dritte ist technisch und vertraglich implementiert – auf Verlangen des Nutzers, ohne Mehrkosten für den Nutzer

→ Art. 5 Abs. 1 DA

+5

„Handbrake-Mechanismus" operativ vorbereitet: Eine Verweigerung der Datenweitergabe bei drohend schwerem wirtschaftlichem Schaden ist schriftlich begründbar, gegenüber dem Nutzer darlegbar und im Streitfall überprüfbar

Ablehnung muss auf objektiven Fakten basieren – nicht pauschal auf „Geschäftsgeheimnis"

→ Art. 4 Abs. 7, 8 DA

+5

Non-Compete-Klauseln in Datennutzungsverträgen: Datenempfänger sind vertraglich daran gehindert, empfangene Daten zur Entwicklung eines Konkurrenzprodukts zu nutzen

→ Art. 4 Abs. 10, Art. 6 Abs. 2e DA

+4

FRAND-Nachweis: Preisgestaltung für Datenzugang (B2B) ist fair, angemessen, nichtdiskriminierend und transparent nachvollziehbar – Berechnungsgrundlage kann Behörden gegenüber belegt werden

→ Art. 8, 9 DA / FRAND-Grundsatz

+5

Datenweitergabe ist protokolliert und auditierbar (Zugangspfad, Zeitstempel, Empfänger)

+4

B2G-Datenweitergabepflichten (Behördenzugang bei außergewöhnlicher Notwendigkeit) sind operativ vorbereitet – inklusive klarer Prozesse, Verantwortlichkeiten und nachvollziehbarer Reaktionsfähigkeit bei Anfragen öffentlicher Stellen

→ Art. 14–22 DA / Kap. V

+5

⚖️

SEKTION 03 / 08

Vertragsklauseln – Blacklist & Greylist NEU

Kontrolle missbräuchlicher Datenvertragsklauseln nach Art. 13 DA – absolut verboten vs. widerlegbar missbräuchlich

0 / 5

▾

⚠ Art. 13 DA gilt für Verträge ab 12. September 2025, für Altverträge (unbefristet oder Laufzeit > 10 Jahre) ab 12. September 2027. Missbräuchliche Klauseln sind für die betroffene Partei nicht bindend – sie können jederzeit angefochten werden, auch rückwirkend.

Blacklist – absolut verbotene Klauseln (Art. 13 Abs. 4 DA)

Alle Datenverträge wurden auf Blacklist-Klauseln geprüft: kein einseitiger Haftungsausschluss für Vorsatz/grobe Fahrlässigkeit, keine einseitige Auslegungshoheit, kein vollständiger Rechtsbehelf-Ausschluss

Diese Klauseln sind absolut nichtig – kein Nachweis der Verhältnismäßigkeit möglich

→ Art. 13 Abs. 4 DA / Blacklist

+6

Greylist-Klauseln wurden überprüft: keine unangemessene Haftungsbeschränkung, kein Verhindern der Nutzung eigener Daten, keine unverhältnismäßig kurze Kündigungsfrist, kein einseitiges Preisänderungsrecht ohne Sonderkündigungsrecht für die andere Partei

→ Art. 13 Abs. 5 DA / Greylist

+5

Prozess & Altverträge

Altverträge (unbefristet oder > 10 Jahre Laufzeit) wurden identifiziert und auf Kompatibilität mit Art. 13 DA bis September 2027 geprüft

+5

Neue Vertragsvorlagen wurden an Art. 13 DA sowie an die EU-Mustervertragsklauseln (gem. Art. 41 DA) angepasst oder sind kompatibel gestaltet

+4

Standardvertragsklauseln für Cloud-Computing (Art. 41 DA) sind in Beschaffungsprozesse für Cloud-Dienste integriert oder werden bei Neuabschlüssen berücksichtigt

+4

☁️

SEKTION 04 / 08

Cloud Switching & Anbieterwechsel NEU

Wechselpflichten, Übergangszeiträume und das Verbot von Wechselentgelten ab 12. Januar 2027 (Art. 23–31 DA)

0 / 6

▾

📅 Wichtiger Stichtag: 12. Januar 2027 – ab diesem Datum sind alle Wechselentgelte (Datenextraktionsentgelte, Übergangsentgelte) verboten. Bis dahin: nur ermäßigte Entgelte zulässig. Verstöße können von Behörden sanktioniert werden.

Für Cloud-Anbieter (Art. 23–31 DA)

Vertragsklauseln für den Anbieterwechsel sind schriftlich fixiert: Übergangsfrist max. 30 Tage, Mindest-Datenabruffrist 30 Tage nach Übergangszeitraum, Kündigungsfrist max. 2 Monate

→ Art. 25 Abs. 2 DA

+5

Exportierbare Daten (Eingabe-/Ausgabedaten inkl. Metadaten) sind vertraglich vollständig aufgelistet – Kunden wurden transparent über den Umfang informiert

→ Art. 25 Abs. 2e, Art. 26 DA

+5

Wechselentgelte: bis Jan. 2027 werden nur tatsächliche Kosten (ermäßigt) weitergegeben – danach vollständiger Verzicht auf Wechsel- und Datenextraktionsentgelte ist geplant und operativ vorbereitet

→ Art. 29 DA

+5

Für Cloud-Nutzer / Kunden

Bestehende Cloud-Verträge wurden auf Data Act-Konformität geprüft – insbesondere auf unzulässige Wechselhürden und fehlende Austrittsklauseln

+4

Interoperabilitätsanforderungen sind bekannt: bei neuen Cloud-Verträgen werden offene Schnittstellen (API) und maschinenlesbare Exportformate vertraglich eingefordert

→ Art. 30 Abs. 2, Art. 35 DA

+4

Schutz vor internationalem staatlichem Datenzugriff: Cloud-Anbieter wurden zu ihren Maßnahmen gegen unrechtmäßigen Drittlandszugriff auf nicht-personenbezogene Daten befragt (Art. 32 DA)

→ Art. 28, 32 DA

+4

🔒

SEKTION 05 / 08

DSGVO & Datenschutz

Zusammenspiel von Data Act und DSGVO – parallele Geltung, kein Vorrang, Konflikte müssen vorab aufgelöst werden

0 / 6

▾

⚠ Data Act und DSGVO gelten parallel. Der Data Act stellt keine Rechtsgrundlage für die Verarbeitung personenbezogener Daten dar (Art. 1 Abs. 5 DA). Bei Konflikten hat das Datenschutzrecht Vorrang – Datenzugang muss vor der Weitergabe datenschutzrechtlich abgesichert sein.

Rechtsgrundlagen für alle Datenverarbeitungen sind dokumentiert – insb. für Datenweitergabe nach Art. 4/5 DA bei personenbezogenen Daten ist eine eigenständige DSGVO-Rechtsgrundlage vorhanden

→ Art. 6 DSGVO, Art. 4 Abs. 12 DA

+6

Datenschutz-Folgenabschätzungen (DSFA) für Hochrisikoverarbeitungen sind durchgeführt

→ Art. 35 DSGVO

+5

Betroffenenrechte (Auskunft, Löschung, Datenportabilität) sind operativ umsetzbar – inkl. Fristenmanagement innerhalb 30 Tage

+5

Verarbeitungsverzeichnis (VVT) ist aktuell und vollständig – inkl. Datenweitergabe nach Data Act

+4

Datentransfers in Drittländer sind durch geeignete Garantien abgesichert (SCCs, Angemessenheitsbeschluss)

+5

Datenpannen-Management: 72h-Meldeprozess an Aufsichtsbehörde ist etabliert und wurde geübt

+4

🤖

SEKTION 06 / 08

EU AI Act & KI-Governance

Risikoklassifikation, Hochrisiko-Pflichten, Transparenz und Vorstandsverantwortung

0 / 6

▾

🧠 EU AI Act: Verbotene KI-Praktiken galten ab Feb. 2025. Hochrisiko-Pflichten gelten ab Aug. 2026. Nutzung von Drittanbieter-KI (ChatGPT, Copilot) ohne interne Richtlinie ist ein häufiger, unterschätzter Compliance-Risikofaktor.

KI-Inventar: Alle eingesetzten KI-Systeme wurden nach Risikoklassen kategorisiert (verboten / hochriskant / geringes Risiko)

+5

Für Hochrisiko-KI: technische Dokumentation, Konformitätsbewertung, Risikomanagement und Logging sind implementiert

→ Art. 9–17 EU AI Act

+6

Transparenzpflichten gegenüber Nutzern von KI-Systemen sind umgesetzt (Kennzeichnung, Informationspflichten, Deepfake-Offenlegung)

+5

Menschliche Aufsicht über KI-Entscheidungen ist operativ sichergestellt (Human Oversight)

+4

Nutzung von Drittanbieter-KI (ChatGPT, Copilot, etc.) ist durch interne Richtlinie geregelt, dokumentiert und auf DSGVO-Konformität geprüft

+4

KI-Governance-Verantwortung ist auf Vorstands- oder Geschäftsleitungsebene formell zugewiesen

+4

🛡️

SEKTION 07 / 08

Informationssicherheit, Geschäftsgeheimnisse & NIS2

Cybersicherheitspflichten, aktiver Geschäftsgeheimnisschutz und technische Missbrauchsprävention

0 / 7

▾

🔑 Ohne aktive Klassifikation kein Schutz: Art. 4 Abs. 6 DA verlangt, dass Dateninhaber Geschäftsgeheimnisse vor der Weitergabe identifizieren und benennen. Eine nachträgliche Geltendmachung ist nicht möglich. NIS2: Bußgelder bis 10 Mio. € oder 2 % des weltweiten Umsatzes.

Geschäftsgeheimnisschutz (Art. 4 Abs. 6, Art. 5 Abs. 9 DA)

Datenklassifikationssystem ist implementiert – Daten, die Geschäftsgeheimnisse enthalten, sind explizit markiert (auch in Metadaten)

→ Art. 4 Abs. 6 DA, GeschGehG

+5

Technische und organisatorische Schutzmaßnahmen für Geschäftsgeheimnisse sind dokumentiert (NDAs, Zugangsprotokolle, Verschlüsselung, Verhaltenskodizes)

+5

Prüfprozess für Datenzugangsanfragen auf Geschäftsgeheimnisrelevanz existiert – vor jeder Weitergabe wird geprüft

+4

NIS2 & Cybersicherheit

NIS2-Betroffenheit wurde geprüft – Cyberhygiene-Maßnahmen sind implementiert (Patch-Management, MFA, Incident Response, Supply Chain Security)

+5

Zugriffskontrollsysteme auf Basis von Least-Privilege und Rollentrennung sind aktiv

+5

Sicherheitsvorfälle: Erstmeldung innerhalb 24h intern, Meldung an BSI/zuständige Behörde innerhalb 72h ist prozessual etabliert

+5

Missbrauchsprävention für Datenzugriffe (Art. 11 DA): Technische Schutzmaßnahmen verhindern unberechtigten Zugriff und können bei Missbrauch aktiviert werden (Datenlöschung, Einstellung der Weitergabe)

→ Art. 11 DA

+4

📈

SEKTION 08 / 08

Governance, Auditfähigkeit & Vorstandsverantwortung

Nachweispflichten, organisatorische Strukturen und regulatorische Wachsamkeit

0 / 5

▾

📋 Regulatoren und Gerichte prüfen nicht nur, ob Maßnahmen existieren – sondern ob sie dokumentiert, gelebt und nachweisbar sind. Accountability ist der Kern moderner Compliance. Art. 37 DA verpflichtet Mitgliedstaaten zur Benennung zuständiger Behörden – in Deutschland laufen Zuständigkeiten derzeit noch an.

Klare Verantwortlichkeiten für Data Act, DSGVO und AI Act sind auf Vorstands- / Geschäftsleitungsebene formell und schriftlich zugewiesen

+5

Compliance-Strukturen sind auditierbar – Nachweise (Protokolle, Verträge, Klassifikationen, Prozessdokumentationen) können Behörden gegenüber jederzeit erbracht werden

+5

Regulatorisches Monitoring: Änderungen bei Data Act, AI Act, NIS2 und DSGVO werden systematisch verfolgt und in interne Prozesse überführt

+4

Interne Schulungen zu Data Act, DSGVO und AI Act für relevante Mitarbeitende (Legal, IT, Produktentwicklung, Einkauf) wurden durchgeführt

+4

Jährliche interne oder externe Compliance-Reviews für alle genannten Regelwerke sind fest eingeplant und werden dokumentiert

+5