Die EU-Datenverordnung ist da: Was bedeutet das für Unternehmen in Singapur und ASEAN?

24.09.2025

Von unserem deutschsprachigen CBBL-Anwalt in Singapur, Herrn Rechtsanwalt Dr. Andreas Respondek, respondek@cbbl-lawyers.de, Tel. +65 6324 0060, www.rflegal.com

Seit dem 12. September 2025 ist die EU-Datenverordnung (2023/2854) anwendbar. Sie ist ein zentraler Baustein der europäischen Digitalstrategie und soll den Zugang zu Daten, deren Nutzung und Portabilität grundlegend neu ordnen.

Obwohl in Brüssel verabschiedet, reicht ihre Wirkung weit über die EU hinaus. Auch Unternehmen in Singapur und der ASEAN-Region, die digitale Produkte in die EU exportieren oder Daten von EU-Nutzern verarbeiten, müssen sich an die neuen Regeln halten. Damit wird die Datenverordnung zu einem globalen Standard für den Umgang mit Daten.

1. Was regelt die EU-Datenverordnung?
2. Welche Unternehmen sind von der EU-Datenverordnung betroffen?
3. Welche Pflichten bringt die EU-Datenverordnung mit sich?
4. Welche Fristen sind bzgl. der Pflichten aus der EU-Datenverordnung zu beachten?
5. Welche Sanktionen drohen bei Verstößen gegen die EU-Datenverordnung?
6. Welche Folgen hat die EU-Datenverordnung für Unternehmen in Singapur und ASEAN?
7. Sind Sie auf die EU-Datenverordnung vorbereitet?
8. Fazit: Die Datenverordnung als globaler Standard

1. Was regelt die EU-Datenverordnung?

Die EU-Datenverordnung schafft einheitliche Vorgaben für den Zugang, die Weitergabe und die Übertragbarkeit von Daten in der digitalen Wirtschaft. Ziel ist es, Daten, die bislang häufig in abgeschotteten Datenbeständen verblieben, für Nutzer und Drittanbieter nutzbar zu machen. Gleichzeitig sollen Innovation, Wettbewerb und Vertrauen in die digitale Wirtschaft gestärkt werden.

2. Welche Unternehmen sind von der EU-Datenverordnung betroffen?

Der Anwendungsbereich umfasst sowohl Unternehmen in der EU als auch Unternehmen außerhalb der EU, wenn sie:

• vernetzte Produkte (z. B. Smart Devices, Fahrzeuge, industrielle IoT-Maschinen) in der EU herstellen oder vertreiben,
• Cloud- oder Edge-Dienste für EU-Kunden bereitstellen, oder
• EU-generierte Daten verarbeiten, auch wenn dies außerhalb der EU geschieht.

Damit betrifft die Datenverordnung nicht nur europäische Firmen, sondern auch internationale Anbieter, die am EU-Markt teilnehmen oder Daten von EU-Nutzern in ihre Systeme einbeziehen.

3. Welche Pflichten bringt die EU-Datenverordnung mit sich?

Seit dem 12. September 2025 gelten für Unternehmen weitreichende Vorgaben. Im Kern geht es darum, den Zugang zu Daten transparenter zu machen, Nutzern mehr Rechte einzuräumen und die Marktbedingungen fairer zu gestalten. Die wichtigsten Pflichten lassen sich wie folgt zusammenfassen:

• Datenzugang für Nutzer
  Nutzer vernetzter Produkte oder verbundener Dienste haben Anspruch auf kostenlosen und zeitnahen Zugang zu den durch sie erzeugten Daten - sowohl personenbezogene als auch nicht-personenbezogene. Der Zugriff muss in einem gängigen, maschinenlesbaren Format erfolgen, möglichst direkt über das Produkt oder den Dienst selbst.
• Weitergabe auf Nutzerwunsch
  Nutzer können diese Daten an Dritte weitergeben, und zwar zu fairen, angemessenen und nicht-diskriminierenden Bedingungen. Das reduziert die ausschließliche Kontrolle durch Hersteller und eröffnet neue Chancen für After-Sales-, Reparatur- und Analyse-Dienstleistungen.
• Vorvertragliche Transparenz
  Noch vor Vertragsabschluss (beim Kauf, Leasing oder bei der Nutzung eines Dienstes) müssen Anbieter klarstellen, welche Daten erhoben werden, in welchem Format diese bereitgestellt werden, ob Echtzeitzugriff besteht, wo die Daten gespeichert werden und wie lange sie verfügbar sind. Unternehmen müssen diese Informationen in verständlicher Form bereitstellen - etwa über einen „Datensteckbrief“.
• FRAND-Bedingungen
  Wenn Unternehmen verpflichtet sind, Daten B2B bereitzustellen, muss dies zu fairen, angemessenen und nicht-diskriminierenden Bedingungen erfolgen (FRAND-Prinzip - engl.: Fair, Reasonable and Non-Discriminatory). Eine angemessene, transparente Vergütung ist erlaubt, insbesondere zur Deckung von Bereitstellungs- und Übertragungskosten. Für kleine und mittlere Unternehmen gelten in der Regel Kostenobergrenzen.
• Cloud-Switching
  Cloud- und Edge-Anbieter müssen es Kunden ermöglichen, ihre Daten und Anwendungen zwischen Anbietern zu verschieben und zwar ohne vertragliche oder technische Lock-ins. Daten müssen in strukturierten, gängigen Formaten bereitgestellt werden - entsprechend dem „Access by Design“-Prinzip des Gesetzes.
• Unfaire Vertragsklauseln
  B2B-Verträge über den Zugang zu Daten dürfen keine einseitig belastenden Klauseln enthalten. Typische „take-it-or-leave-it“-AGB, die etwa Haftung für grobe Fahrlässigkeit ausschließen oder dem Anbieter ein einseitiges Änderungsrecht einräumen, sind unzulässig und nichtig.
• Schutz vor unrechtmäßigem Zugriff aus Drittländern
  Anbieter müssen organisatorische, technische und rechtliche Vorkehrungen treffen, um unzulässige Zugriffe von Behörden außerhalb der EU auf nicht-personenbezogene Daten von EU-Nutzern zu verhindern. Dazu gehören Informationspflichten gegenüber Kunden sowie interne Kontrollmechanismen.
• Interoperabilität
  Daten, Schnittstellen und Dienste sollen so gestaltet sein, dass sie den Austausch und die Weiterverwendung der Daten erleichtern. Unternehmen müssen künftige technische Standards und EU-Spezifikationen umsetzen, sobald diese festgelegt werden.

4. Welche Fristen sind bzgl. der Pflichten aus der EU-Datenverordnung zu beachten?

• 12. September 2025: Beginn der Hauptpflichten, u. a. Nutzerzugang zu Daten, Weitergabe an Dritte, Transparenzanforderungen und FRAND-Prinzip.
• 12. September 2026: Vernetzte Produkte und Dienste müssen so gestaltet sein, dass Nutzer einen direkten, kostenlosen Zugang zu ihren Daten haben, soweit dies technisch möglich ist. Dies erfordert erhebliche Anpassungen in Produktentwicklung und IT-Infrastruktur.
• 12. Januar 2027: Verbot von Switching-Gebühren im Cloud-Bereich.
• 12. September 2027: Die Regelungen zu unfairen B2B-Klauseln gelten auch für bereits bestehende Verträge – allerdings nur für unbefristete Verträge sowie für Verträge, die nach dem 11. Januar 2034 enden. Verträge, die vor dem 12. September 2025 geschlossen wurden und vor dem 11. Januar 2034 auslaufen, bleiben von diesen Vorgaben ausgenommen.

5. Welche Sanktionen drohen bei Verstößen gegen die EU-Datenverordnung?

Die Durchsetzung der EU-Datenverordnung ist streng. Verstöße können mit Bußgeldern von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden - ähnlich wie bei der Datenschutz-Grundverordnung der EU (DSGVO).

6. Welche Folgen hat die EU-Datenverordnung für Unternehmen in Singapur und ASEAN?

Für Unternehmen in Singapur und der ASEAN-Region ist die Datenverordnung mehr als nur eine Compliance-Pflicht - sie ist ein neuer globaler Standard, der die Datenpraxis prägen wird. Betroffene Unternehmen, die zwar nicht in der EU ansässig sind, aber z.B. EU-Kunden bedienen, IT-Produkte in die EU exportieren oder EU-generierte Daten verarbeiten, sollten folgende Punkte beachten:

• Cloud- und Digitalanbieter: Firmen, die EU-Kunden bedienen, müssen Verträge, Servicebedingungen und technische Schnittstellen überprüfen. Künftig wird erwartet, dass Datenportabilität, Interoperabilität und transparente Exit-Regelungen („Cloud Switching“) gewährleistet sind. Unternehmen sollten bereits heute sicherstellen, dass Export-Tools, Schnittstellenbeschreibungen und Übergangsprozesse verfügbar sind, da bis spätestens Januar 2027 keine Switching-Gebühren mehr zulässig sind.
• Hersteller vernetzter Produkte: Produzenten von Smart Devices oder industriellen IoT-Lösungen mit Export in die EU müssen garantieren, dass Nutzer die von den Produkten erzeugten Daten einfach, direkt und kostenlos abrufen können, und zwar möglichst in Echtzeit und in gängigen Formaten. Dazu gehört auch, vor Vertragsabschluss transparent über Datentypen, Speicherorte und Formate zu informieren. Für viele Unternehmen bedeutet dies eine Anpassung von Produktdesign und IT-Infrastruktur.
• Datenverarbeiter und Service Provider: Unternehmen, die mit EU-generierten Daten arbeiten, benötigen klare Governance-Strukturen, um Datenanfragen rechtssicher zu bearbeiten. Dazu gehören interne Workflows, eine zentrale Anlaufstelle für Anfragen sowie Prozesse zur Identitätsprüfung, zum Schutz von Geschäftsgeheimnissen und zur Einhaltung der DSGVO bei personenbezogenen Daten.
• Vertragsgestaltung: B2B-Verträge müssen überprüft und gegebenenfalls angepasst werden, um FRAND-Bedingungen (fair, angemessen, nicht-diskriminierend) sicherzustellen. Einseitige, übermäßig belastende Klauseln sind künftig unwirksam. Unternehmen sollten daher frühzeitig Addenda oder neue Vertragsmuster entwickeln, um Streitigkeiten zu vermeiden und Compliance zu sichern.

7. Sind Sie auf die EU-Datenverordnung vorbereitet?

Die Datenverordnung ist seit dem 12. September 2025 anwendbar. Unternehmen sollten daher unverzüglich prüfen, welche Pflichten sie betreffen und ihre internen Prozesse anpassen. Wer sich frühzeitig anpasst, profitiert doppelt:

• Rechtssicherheit: Risiken durch Bußgelder und Vertragsverletzungen lassen sich minimieren.
• Wettbewerbsvorteil: Europäische Geschäftspartner bevorzugen Anbieter, die ihre Compliance nachweisen können.
• Zukunftssicherheit: Viele ASEAN-Staaten orientieren sich bei Digitalgesetzen an der EU. Frühzeitige Anpassung erleichtert die Erfüllung künftiger lokaler Vorgaben.

8. Fazit: Die Datenverordnung als globaler Standard

Die EU-Datenverordnung ist weit mehr als ein europäischer Rechtsakt. Sie setzt Standards, die auch Unternehmen in Singapur und ASEAN unmittelbar betreffen. Firmen, die ihre Datenstrategien jetzt anpassen, vermeiden nicht nur Risiken, sondern stärken zugleich ihre Rolle als verlässliche Partner im europäischen digitalen Binnenmarkt

Sie haben Fragen zur EU-Datenverordnung und der Bedeutung für Unternehmen in Singapur und ASEAN?

Sprechen Sie uns an!

Unser deutschsprachiger CBBL-Anwalt in Singapur, Herrn Rechtsanwalt Dr. Andreas Respondek, berät Sie gerne: respondek@cbbl-lawyers.de, Tel. +65 6324 0060