black android smartphone on top of white book
Photo by Pixabay on Pexels.com
Posted inAllgemein

Die strategische Bedeutung des EU Data Act für Finanz-IT: Ein Leitfaden von Prof. Stefan Loubichi

Über LinkedIn bin ich auf einen interessanten Artikel von Prof. Stefan Loubich gestoßen.

In seinem wissenschaftlich fundierten Positionspapier analysiert Prof. Stefan Loubichi, Lead Auditor und Experte für Cybersicherheit, dessen Arbeiten sogar in der Bibliothek des Deutschen Bundestages referenziert werden, die strategische Neuausrichtung digitaler Infrastrukturen im Finanzsektor,. Der EU Data Act (Verordnung 2023/2854) ist dabei kein isoliertes Regelwerk, sondern transformiert im Zusammenspiel mit DORA und NIS-2 die gesamte Governance- und Systemarchitektur von IKT-Dienstleistern.

1. Das neue Rechtsverständnis: Datenhoheit statt Eigentum

Ein zentraler Punkt von Loubichis Analyse ist die Abkehr von klassischen Eigentumsrechten an Daten. Der Data Act führt funktionale Kategorien ein:

  • Dateninhaber (Data Holder): Personen oder Unternehmen, die die faktische Kontrolle über Daten haben und diese bereitstellen können, unabhängig von traditionellen Eigentumsrechten. Dies umfasst Cloud-Anbieter, Infrastrukturbetreiber und Hersteller vernetzter Produkte,.
  • Datennutzer (Data User): Akteure, denen Zugangsrechte eingeräumt werden, insbesondere regulierte Finanzinstitute, die betriebliche Daten ihrer Dienstleister benötigen.

Das Gesetz trennt die tatsächliche Kontrolle über Daten von den Nutzungsrechten: Ein Dateninhaber kann zur Herausgabe verpflichtet sein, selbst wenn er die Daten nicht im klassischen Sinne „besitzt“,.

2. Die Symbiose von Data Act und DORA

Während DORA den Fokus auf die digitale operationale Resilienz (Schutz vor Ausfällen und Angriffen) legt, adressiert der Data Act die Datensouveränität und Portabilität (wer darf auf Daten zugreifen und wie einfach kann der Anbieter gewechselt werden).

Loubichi identifiziert eine „integrierte Governance-Verpflichtung“: Resilienz und Datenzugang dürfen nicht isoliert betrachtet werden. Kritische IKT-Dienstleister verlieren ihren Status als rein vertraglich gebundene Partner und werden zu direkten Adressaten der Finanzaufsicht. Bei Verstößen drohen Sanktionen von bis zu 10 Millionen Euro oder 6 % des weltweiten Jahresumsatzes.

3. Cloud-Portabilität: Das Ende technischer Barrieren

Ein Kernstück des Data Act (Art. 23–32) ist die Bekämpfung des „Vendor Lock-in“. Cloud-Anbieter werden verpflichtet:

  • Offene Standards: Daten müssen in strukturierten, maschinenlesbaren Formaten (z. B. JSON, XML, Parquet) exportierbar sein,.
  • Interoperabilität: Schnittstellen (APIs) müssen dokumentiert und für Kunden sowie autorisierte Dritte programmatisch nutzbar sein.
  • Kostenverbot: Sogenannte „Data Egress Fees“ (Gebühren für den Datenexport beim Wechsel), die einen Anbieterwechsel wirtschaftlich unattraktiv machen, sind untersagt.
  • Exit-Strategien: Es müssen testbare Pläne vorliegen, die eine Migration innerhalb von 30 bis 90 Tagen ermöglichen.

4. Krisendaten und staatliche Zugriffsrechte

Der Data Act führt das Konzept des „außergewöhnlichen Bedarfs“ (Exceptional Need) ein. In Notfällen, wie großflächigen Cyberangriffen auf die Finanzmarktinfrastruktur, müssen private Dateninhaber den Behörden (z. B. EBA oder BaFin) Zugang zu ihren Daten gewähren,.

  • Verfahren: Der Antrag muss schriftlich begründet und verhältnismäßig sein.
  • Schutzmaßnahmen: Behörden sind zur strengen Vertraulichkeit und zur Löschung der Daten nach Ende der Krise verpflichtet,.

5. Vertragliche Fairness und „Unfaire Klauseln“

Der Data Act schützt insbesondere vor unfairen Vertragsklauseln im B2B-Bereich. Loubichi listet Klauseln auf, die künftig als unwirksam betrachtet werden könnten:

  • Einseitige Änderungen der Datenzugangsrechte ohne Zustimmung des Kunden.
  • Überhöhte Gebühren für den Datenexport.
  • Nutzung von Datenzugangssperren als Druckmittel für Zusatzverkäufe.
  • Einschränkung der Haftung bei Datenverlust oder -beschädigung.

6. Implementierungs-Roadmap für Unternehmen

Prof. Loubichi empfiehlt einen vierstufigen Umsetzungsplan:

  1. Phase 1 (Bestandsaufnahme, Monate 1–3): Identifikation aller Datenquellen und Durchführung einer Gap-Analyse („Können wir alle Daten innerhalb von 30 Tagen exportieren?“),.
  2. Phase 2 (System-Upgrade, Monate 4–9): Entwicklung von REST/GraphQL-APIs und Implementierung einer zentralen Logging-Infrastruktur für alle Datenzugriffe,.
  3. Phase 3 (Portabilität, Monate 10–15): Durchführung von „Dry-Runs“ (Testläufen) für Migrationsszenarien mit Testdaten.
  4. Phase 4 (Governance, Monate 12–18): Etablierung eines Data Governance Boards, das über alle Zugriffsanfragen entscheidet.

Fazit und Ausblick

Der EU Data Act ist laut Loubichi kein „Datenschutz 2.0“, sondern ein strukturelles Transformationsinstrument. Er zwingt Unternehmen dazu, ihre Architektur so zu gestalten, dass sie „Exit-ready“ sind und keine Abhängigkeiten mehr bestehen. Da der Data Act bereits ab dem 12. September 2025 für neue Verträge bindend ist, besteht unmittelbarer Handlungsbedarf für die Geschäftsführung und die IT-Verantwortlichen.

Über den Autor: Prof. Stefan Loubichi verfügt über jahrzehntelange Erfahrung als Lead Auditor und ist in internationalen Zertifizierungskomitees tätig. Seine Expertise verbindet tiefes technisches Wissen in den Bereichen Cybersicherheit und KI mit ökonomischer und regulatorischer Weitsicht.