Internet of Things (IoT) – Rechtslage, Vertragsgestaltung & Handlungsempfehlungen 2025

08. Oktober 2025

Das Internet of Things (IoT) verändert nicht nur technische Prozesse, sondern auch das Vertrags- und Haftungsrecht.
Mit der zunehmenden Verschmelzung von Hardware, Software, Cloud-Diensten und Wartungsleistungen entstehen komplexe Vertragsstrukturen, die sich mit klassischen Vertragstypen des Bürgerlichen Gesetzbuchs (BGB) nur schwer abbilden lassen.
Seit der Umsetzung der EU-Richtlinien 2019/770 und 2019/771 und der Einführung des EU Data Act (Verordnung (EU) 2023/2854) gilt: Unternehmen müssen ihre IoT-Verträge, AGB und internen Prozesse an neue rechtliche Anforderungen anpassen.

1. Komplexe Vertragsrealitäten im IoT

Das IoT schafft ein Geflecht aus verschiedenen Leistungselementen – vom physischen Gerät über digitale Software bis zur Cloud-Infrastruktur. Diese Vielfalt zwingt zur differenzierten vertraglichen Einordnung:

  • Hardware (IoT-Gerät): Physische Geräte unterliegen in der Regel dem Kaufvertragsrecht (§§ 433 ff. BGB). Werden sie individuell installiert oder angepasst, kann auch Werkvertragsrecht (§§ 631 ff. BGB) greifen.
  • Software und Apps: Die rechtliche Zuordnung erfolgt häufig als Kauf- oder Mietvertrag analog § 453 BGB. Dauerhafte Nutzungsrechte ähneln Kaufverträgen, zeitlich befristete Lizenzen eher Mietverhältnissen.
  • Cloud-Dienste: Diese stellen fortlaufende Leistungen bereit und werden in der Regel als Mietvertrag (§§ 535 ff. BGB) behandelt. Der Anbieter muss Funktion und Verfügbarkeit gewährleisten.
  • Wartung und Support: Je nach Vereinbarung liegt ein Werkvertrag (Erfolgspflicht) oder ein Dienstvertrag (reine Tätigkeit) vor. Gerichte können ergänzende Pflichten aus § 242 BGB ableiten – ein Risiko bei unklaren Regelungen.

Praxis-Tipp: Klare Abgrenzungen vermeiden doppelte Verpflichtungen und Haftungsüberschneidungen, insbesondere zwischen Händler, Plattform und Hersteller.

2. Neue gesetzliche Grundlagen im BGB

Mit der Umsetzung der europäischen Richtlinien über Waren mit digitalen Elementen und digitale Inhalte hat das deutsche Recht neue Vorschriften geschaffen, die für IoT-Verträge entscheidend sind.

  • Waren mit digitalen Elementen (§§ 475b–475e BGB): Verkäufer müssen notwendige Software-Updates bereitstellen. Der Mangelbegriff wurde angepasst und die Beweislastumkehr zugunsten von Verbrauchern auf ein Jahr verlängert (§ 477 BGB).
  • Digitale Produkte (§§ 327 ff. BGB): Neu eingeführte Regeln betreffen Vertragsgemäßheit (§ 327e BGB), Aktualisierungspflichten (§ 327f BGB) und Rechtsbehelfe bei Vertragswidrigkeit.

Die Neuregelungen schärfen den Verbraucherschutz, sind im B2B-Geschäft aber grundsätzlich dispositiv. Dennoch verlangen viele Geschäftskunden heute vertraglich dieselben Standards, was zur Annäherung zwischen Verbraucher- und Unternehmerverträgen führt.

3. Der EU Data Act – Neue Dimension der Datenrechte ab 12. September 2025

Der EU Data Act regelt erstmals einheitlich, wem die durch IoT-Geräte erzeugten Daten zustehen und wie sie genutzt oder geteilt werden dürfen. Er gilt unmittelbar in allen EU-Mitgliedsstaaten und verpflichtet Unternehmen zu technischen, organisatorischen und vertraglichen Anpassungen.

Wesentliche Inhalte des Data Act:

  • Datenzugang: Nutzer – sowohl Verbraucher als auch Unternehmen – erhalten ein Recht auf Zugriff auf alle durch ihre IoT-Geräte erzeugten Daten. Hersteller müssen diesen Zugang einfach und kostenlos ermöglichen.
  • Datenweitergabe: Nutzer können Dritten (z. B. Werkstätten) Zugriff auf die Daten gewähren. Unzumutbare Hürden oder Kosten sind unzulässig.
  • Fairness im B2B-Bereich: Unfaire Vertragsklauseln, die kleine und mittlere Unternehmen benachteiligen, sind unwirksam (Art. 13 ff. Data Act).
  • Interoperabilität und Cloud-Wechsel: Anbieter von Plattformdiensten müssen Datenportabilität ermöglichen und dürfen keine ungerechtfertigten Gebühren für Anbieterwechsel verlangen (Art. 23 ff. Data Act).
  • Behördenzugang in Krisenfällen: Öffentliche Stellen können bei außergewöhnlicher Notwendigkeit auf Daten zugreifen (Art. 14 ff. Data Act).

Für die praktische Umsetzung sieht der Data Act eine Übergangsfrist bis September 2026 vor. Danach drohen bei Nichtbeachtung erhebliche Haftungsrisiken und Sanktionen.

4. Handlungsempfehlungen für Unternehmen

Die neuen Vorschriften erfordern eine enge Abstimmung zwischen Recht, IT und Produktmanagement. Unternehmen sollten frühzeitig prüfen, wie sie die gesetzlichen Pflichten umsetzen.

  • Vertragliche Klarheit schaffen: Update-, Wartungs- und Supportpflichten müssen ausdrücklich geregelt werden. Art, Umfang und Laufzeit der Updates sind schriftlich festzuhalten.
  • Plattformverträge direkt mit Anbietern: Verträge sollten – soweit möglich – direkt mit dem digitalen Dienstleister geschlossen werden, um klare Verantwortlichkeiten zu sichern.
  • AGB und Musterverträge prüfen: Klauseln, die Datenzugang oder Interoperabilität einschränken, müssen angepasst werden. Unfaire Datenklauseln sind künftig unwirksam.
  • Technische Voraussetzungen schaffen: Systeme müssen in der Lage sein, Datenexporte zu ermöglichen und Cloud-Wechsel technisch zu unterstützen.
  • Behördenzugriff vorbereiten: Unternehmen sollten interne Prozesse schaffen, um auf Datenanforderungen öffentlicher Stellen rechtssicher reagieren zu können.

Best Practice: Ein zentrales Vertragsmanagement-System hilft, Updatefristen, Gewährleistungszeiträume und Data-Act-Pflichten transparent zu dokumentieren und zu überwachen.

5. IoT-Vertragsgestaltung im B2B-Bereich

Im Geschäftsverkehr zwischen Unternehmen gilt Vertragsfreiheit – aber nicht grenzenlos. Die zentralen B2B-Aspekte lassen sich wie folgt zusammenfassen:

  • Update- und Funktionspflichten: §§ 475b–475e BGB und §§ 327 ff. BGB sind dispositiv, sollten aber vertraglich übernommen werden, um Marktstandards zu erfüllen.
  • Beweislast und Haftung: Im B2B gilt keine automatische Beweislastumkehr. Der Umgang damit sollte ausdrücklich geregelt sein.
  • Unfaire Klauseln vermeiden: Auch im B2B sind intransparente oder überraschende Klauseln nach § 307 BGB unwirksam. Der Data Act verstärkt dieses Prinzip.
  • Interoperabilität sichern: Anbieter müssen technische Barrieren abbauen und einfache, kostengünstige Cloud-Wechsel ermöglichen.
  • Datenschutz beachten: Neben dem Data Act bleibt die DSGVO maßgeblich. Datenverarbeitung, Zugriff und Weitergabe müssen zweckgebunden und sicher erfolgen.

6. Mustervertragliche Umsetzung

Ein moderner IoT-Vertrag sollte vier Kernelemente enthalten:

  1. Update- und Wartungspflichten: Sicherheits- und Funktionsupdates, Laufzeiten und Supportleistungen klar definieren.
  2. Datenzugangsrechte: Anspruch auf Bereitstellung aller gerätebezogenen Daten in maschinenlesbarem Format vertraglich festlegen.
  3. Interoperabilität: Verpflichtung des Anbieters, Datenexport und Cloud-Wechsel technisch zu unterstützen.
  4. Haftung & Datenschutz: Verantwortung für fehlende Updates, unzureichende Datenbereitstellung und Datenschutzverletzungen eindeutig regeln.

Durch die Kombination aus BGB-Neuregelungen und dem Data Act wird die Vertragsgestaltung zum entscheidenden Instrument für Compliance und Rechtssicherheit.

7. Fazit

Die IoT-Rechtslandschaft entwickelt sich rasant. Mit den neuen Vorschriften des BGB und dem EU Data Act entsteht ein einheitlicher Rahmen, der Transparenz, Datennutzung und Fairness im digitalen Ökosystem fördern soll.
Für Unternehmen bedeutet das eine doppelte Herausforderung: Sie müssen rechtliche und technische Vorgaben umsetzen – und gleichzeitig die wirtschaftlichen Chancen des IoT nutzen.

Rechtssicherheit wird so zu einem klaren Wettbewerbsvorteil. Wer seine Verträge, Datenflüsse und internen Prozesse rechtzeitig anpasst, kann Innovation und Compliance verbinden – und vermeidet gleichzeitig Haftungsrisiken.

Bagusche + Partner Rechtsanwälte mbB unterstützen Unternehmen bei der rechtssicheren Umsetzung des Data Act, der Prüfung von IoT-Verträgen und der Gestaltung zukunftsfester AGB-Strukturen.

Rechtsanwalt

Tobias Bagusche

 

Tobias Bagusche

Rechtsanwalt Tobias Bagusche

saarbruecken@bagusche.com

+49 (0) 681 9544288-0

Bagusche + Partner
Rechtsanwälte mbB
Bahnhofstraße 38
66111 Saarbrücken

Weitere Beiträge