AKE Logo
Time
Artikel

Vernetzte Produkte als Sicherheitsfaktor: Warum der EU Data Act für die Logistik zur sicherheitsrelevanten Schlüsselvorschrift wird

Digitale Souveränität klingt oft abstrakt – bis vernetzte Produkte realen Einfluss auf Betrieb und Versorgungssicherheit bekommen. Der Fall fernsteuerbarer chinesischer E-Fahrzeuge in Norwegen macht deutlich: In der Logistik ist nicht nur das System selbst kritisch, sondern vor allem der Datenzugang zu Schnittstellen, Diagnosen und Updates.

Rechtsanwalt Dr. David Saive ordnet ein, warum der EU Data Act für Betreiber vernetzter Flotten, Telematik- und Track-and-Trace-Systeme mehr ist als Compliance: Er schafft gesetzliche Datenzugangsrechte, neue Informationspflichten und damit die Grundlage, Sicherheitsrisiken entlang der Lieferkette überhaupt belastbar zu bewerten und zu steuern.

Portrait
Dr. David Saive, LL.M.
Rechtsanwalt

Dr. David Saive ist Rechtsanwalt und Inhaber der Kanzlei Tug & Tow in Hamburg. Er berät Staaten, Internationale Organisationen und Unternehmen bei der Digitalisierung des Außenhandels.

Vernetzte Produkte als Sicherheitsfaktor: Warum der EU Data Act für die Logistik zur sicherheitsrelevanten Schlüsselvorschrift wird

Echtes Gefährdungspotenzial: Chinesische E-Busse in Norwegen lassen sich fernsteuern

Die Debatte um digitale Souveränität und Cybersicherheit wird häufig abstrakt geführt. Selten jedoch zeigt sich so plastisch, welches reale Gefährdungspotenzial in vernetzten Produkten liegt wie im Fall der in Europa eingesetzten chinesischen Elektrobusse. In Norwegen wurde öffentlich bekannt, dass bestimmte Fahrzeuge technisch aus der Ferne beeinflussbar – im Extremfall sogar abschaltbar – sind. Der Zugriff erfolgt nicht über klassische Angriffsszenarien, sondern über reguläre digitale Schnittstellen, die für Wartung, Diagnose und Update vorgesehen sind.

Was hier wie ein geopolitisches Randthema wirkt, betrifft den Kern der europäischen Logistik- und Transportwirtschaft – und damit einen wesentlichen Teil der kritischen Infrastruktur. Der sicherheitsrelevante Kern liegt nicht im einzelnen Fahrzeug, sondern im Datenzugang. Wer Zugriff auf die durch ein vernetztes Produkt erzeugten Daten und Steuerungsschnittstellen hat, übt faktisch Kontrolle über das Produkt selbst aus.

Gerade für die Logistik ist dies besonders relevant. Sie ist hochgradig digitalisiert und zugleich Teil der kritischen Infrastruktur. Vernetzte Fahrzeuge, Track-and-Trace-Systeme und IoT-Sensorik sind aus modernen Lieferketten nicht mehr wegzudenken. Genauso ist jede andere Branche von diesen Risikofaktoren betroffen, die auf vernetzte Maschinen setzen!

Vernetzte Produkte im Sinne des Data Acts

Der Data Act knüpft systematisch an das vernetzte Produkt an. Nach Art. 2 Nr. 5 Data Act ist ein vernetztes Produkt ein Gegenstand, der Daten über seine Nutzung oder Umgebung erlangt, generiert oder erhebt und diese über elektronische oder physische Schnittstellen übermitteln kann. Damit sind logistische Kernkomponenten wie Fahrzeuge, Container, Trailer, Wechselbrücken, Sensorik und Telematiksysteme eindeutig erfasst. Track-and-Trace-Systeme sind kein Sonderfall, sondern die Regel.

Nutzer und Dateninhaber

Zentral ist die Trennung zwischen Nutzer und Dateninhaber. Nutzer ist jede natürliche oder juristische Person, die ein vernetztes Produkt besitzt oder dieses auf vertraglicher Grundlage nutzt. Dateninhaber ist diejenige Person, die berechtigt oder verpflichtet ist, die bei der Nutzung erzeugten Daten bereitzustellen.

Diese Unterscheidung ist bewusst gewählt. Sie bildet die Grundlage für die gesetzlich normierten Datenzugangsrechte des Nutzers.

Vorvertragliche Informationspflichten

Gemäß Art. 3 Abs. 2 und 3 Data Act muss der Verkäufer, Leasinggeber, Vermieter oder sonstige Veräußerer eines vernetzten Produkts umfassend darüber informieren, ob und inwieweit Daten bei der Nutzung des vernetzten Produkts generiert werden. Jeder Nutzer eines vernetzten Produkts, egal ob nun aus der Logistik oder einer anderen Branche, sollte diesen Informationsanspruch dringend geltend machen, um das eigene Sicherheitsrisiko sauber bewerten zu können.

Datenzugang als gesetzlicher Anspruch

Doch der Data Act lässt es nicht nur beim reinen Informationsanspruch bewenden. So verpflichtet Art. 3 Data Act die Hersteller, vernetzte Produkte so zu gestalten, dass die erzeugten Produktdaten für den Nutzer einfach, sicher, unentgeltlich und maschinenlesbar zugänglich sind.

Ist ein direkter Zugriff nicht vorgesehen oder technisch nicht umsetzbar, verpflichtet Art. 4 Data Act den Dateninhaber, die ohne Weiteres verfügbaren Daten auf einfaches Verlangen unverzüglich und unentgeltlich bereitzustellen.

Für die Logistik bedeutet dies, dass Betreiber vernetzter Fahrzeuge und Systeme nicht mehr auf freiwillige Herstellerlösungen angewiesen sind. Der Datenzugang folgt aus dem Gesetz.

Datenweitergabe und Kontrolle

Art. 5 Data Act geht noch einen Schritt weiter. Der Nutzer kann verlangen, dass der Dateninhaber die Daten an einen Dritten seiner Wahl weitergibt. Dies ermöglicht etwa unabhängige Sicherheitsanalysen oder die Einbindung externer Plattformen.

Zugleich erlaubt der Data Act, die Modalitäten dieser Weitergabe vertraglich zu begrenzen. Gerade für Betreiber kritischer Infrastruktur ist dies entscheidend, um unkontrollierte Datenabflüsse zu verhindern.

Private & Public Enforcement

Die Rechte aus dem Data Act sind sowohl privatrechtlich als auch öffentlich-rechtlich durchsetzbar. Nutzer können ihre Ansprüche schon heute vor einem Zivilgericht geltend machen.

Daneben überwachen staatliche Stellen die Einhaltung der Verordnung. Ihnen werden durch die jeweiligen nationalen Durchführungsgesetze weitreichende Befugnisse zur Durchsetzung des Data Acts eingeräumt.

Dateninhaberschaft als Kern der Global-Risk-Beratung

Jedes Unternehmen sollte sich daher spätestens jetzt mit der Frage auseinandersetzen, welche vernetzten Produkte überhaupt eingesetzt werden und wohin die Daten gehen, die bei der Nutzung entstehen. Der Data Act bietet dafür erstmalig gesetzlich geregelte Ansprüche. Diese sollte man nutzen.

Gerne unterstützen wir Sie dabei, Ihre eigene Lieferkette und Systemlandschaft auf Schwachstellen zu untersuchen, und beraten Sie dabei, wie Sie sich selbst resilienter aufstellen können. Unsere Beratung ist interdisziplinär und vereint unsere Kernkompetenzen in Sachen Legal, Risk und IT-Sicherheit!

Fazit: Richtig angewendet, gibt der EU Data Act digitale Souveränität

Der EU Data Act ist weit mehr als eine datenschutzrechtliche oder technische Vorgabe. Er ist ein Instrument zur Wiederherstellung digitaler Souveränität und zur Absicherung kritischer Infrastruktur. Unternehmen, die den Data Act lediglich als Compliance-Projekt verstehen, verkennen seine sicherheitspolitische Dimension.

Kontakt

Möchten Sie den EU Data Act anwenden und Kontrolle über Ihre Daten erhalten? Kontaktieren Sie uns.

In Notfällen oder bei dringenden Fragen erreichen Sie uns jederzeit telefonisch unter +49 (0) 2173 265 42 35.

Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

* Pflichtfelder

Weiterführende Insights, passende Leistungen & Produkte

Alle Insights entdecken
Global-Risk-Beratung: Sichern Sie geostrategische Entscheidungen
Leistung

Global-Risk-Beratung: Sichern Sie geostrategische Entscheidungen

Mit der Global-Risk-Beratung von AKE | SKABE machen Sie geopolitische Risiken zu einem planbaren Faktor Ihres Geschäfts: Unsere Expertinnen und Experten beobachten für Sie die weltweiten Entwicklungen, bewerten Chancen und Bedrohungen für Ihre Märkte und Standorte und liefern fundierte Entscheidungsgrundlagen – inklusive rechtssicherer Dokumentation Ihrer Fürsorgepflicht. So schützen Sie Mitarbeitende, Lieferketten und Investitionen und verschaffen sich einen klaren strategischen Wettbewerbsvorteil. Auf Wunsch auch als Leistung im Paket.

Weiterlesen
Wenn Geopolitik plötzlich zur Chefsache wird: Warum Unternehmen heute geostrategisch denken müssen und wie ihnen ein geopolitisches Risikomanagement helfen kann
Insights

Wenn Geopolitik plötzlich zur Chefsache wird: Warum Unternehmen heute geostrategisch denken müssen und wie ihnen ein geopolitisches Risikomanagement helfen kann

Geopolitik ist im Managementalltag angekommen. Globale Krisen, Sanktionen und instabile Märkte beeinflussen ganz konkret Lieferketten, Standorte und Mitarbeitersicherheit. Wer international agiert, braucht mehr als ein Bauchgefühl: ein strukturiertes geopolitisches Risikomanagement, das in bestehende Managementsysteme nach ISO-Standards integriert ist. Manuel Grubenbecher zeigt, wie Unternehmen geopolitische Risiken systematisch erfassen, bewerten und dokumentieren können, welche Rolle ein Global-Risk-Berater dabei spielt und wie Sie damit zugleich Ihre Arbeitgeberfürsorge und rechtliche Absicherung stärken.

Weiterlesen
Bitkom-Studie Wirtschaftsschutz 2024: Anstieg von Cyberangriffen
Insights

Bitkom-Studie Wirtschaftsschutz 2024: Anstieg von Cyberangriffen

Die Zunahme von Cyberangriffen 2024 ist alarmierend: 81 % der deutschen Unternehmen wurden Opfer von Cyberkriminellen – mit einem Schaden von 266,6 Mrd. Euro – Tendenz steigend. Erfahren Sie, woher die Angriffe kommen und was Sie konkret tun können.

Weiterlesen