Excel-Listen statt Plattform
Viele B2B-IoT-Initiativen starten mit Excel-Tabellen, E-Mail-Anhängen und manuellen Reports. Das skaliert nicht über mehrere hundert Geräte und macht Datenzugriffspflichten nach EU Data Act unerfüllbar.
Branche · IoT
Mobile- und Backend-Software für IoT-Plattformen
Vernetzte Produkte erzeugen kontinuierlich Daten — und neue Pflichten. Seit dem EU Data Act (anwendbar 12.09.2025) müssen Hersteller Endkunden den strukturierten Datenzugriff ermöglichen. Ab dem Cyber Resilience Act (volle Anwendbarkeit 11.12.2027) gelten verbindliche Cybersecurity-Anforderungen für jedes vernetzte Produkt am EU-Markt.
Branchenkontext
IoT-Anwendungen bestehen typischerweise aus vier Schichten: Geräten (Sensoren, Aktuatoren), einer Konnektivitätsschicht (BLE, MQTT, NB-IoT, LoRa), einer Datenebene (Telemetrie-Ingestion, Time-Series-Datenbank) und einer Anwendungsschicht (Mobile App, Dashboard, Alerts). Ab einer gewissen Geräte-Anzahl wird die Backend-Plattform zum Engpass — nicht die Konnektivität.
Im DACH-Mittelstand kommen 2026 zwei regulatorische Schwerpunkte zusammen: Datensouveränität (EU Data Act, Datenzugriffsrecht für Endkunden) und Cybersecurity-by-Design (Cyber Resilience Act, mit Geldbußen bis 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes). Die Architekturentscheidungen, die heute getroffen werden, prägen die Compliance-Position für die nächsten 5–10 Jahre.
Typische Herausforderungen
Cybersecurity rückwirkend
Geräte, die ohne Update-Mechanismus, ohne Verschlüsselung und ohne Schwachstellen-Reporting in den Markt gegangen sind, müssen für CRA nachgerüstet werden — oder vom Markt genommen werden.
Konnektivitäts-Inseln
Die App spricht ein Protokoll, das Backend ein anderes, Legacy-Geräte ein drittes. Ohne saubere Protokoll-Brücke (z. B. MQTT-zu-HTTP) wird jede Erweiterung zur Klempnerarbeit.
Regulatorischer Rahmen
EU Data Act
Glossar →Verordnung (EU) 2023/2854 gibt Nutzern vernetzter Produkte ein Recht auf Zugang zu, Nutzung und Weitergabe der durch ihre Nutzung erzeugten Daten. Hersteller müssen Geräte und zugehörige Dienste so gestalten, dass dieser Zugriff technisch möglich ist.
Anwendbarkeit: Anwendbar seit 12. September 2025
- Regulation (EU) 2023/2854 — EUR-Lex
Cyber Resilience Act (CRA)
Verordnung (EU) 2024/2847 fordert Cybersecurity-by-Design für alle Produkte mit digitalen Elementen am EU-Markt: Schwachstellen-Management, Sicherheits-Updates, Konformitätsbewertung, Vorfall-Meldepflicht. Geldbußen bis 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes.
Anwendbarkeit: In Kraft seit 10.12.2024 · Meldepflichten ab 11.09.2026 · Volle Anwendbarkeit ab 11.12.2027
- Cyber Resilience Act — Summary — European Commission
- Regulation (EU) 2024/2847 — EUR-Lex
DSGVO / GDPR
Glossar →Telemetrie-Ströme enthalten oft personenbezogene Daten (Standort, Nutzungsmuster). Das gesamte Datenmodell muss DSGVO-konform sein — von der Erhebung über die Speicherdauer bis zum Recht auf Löschung.
- Regulation (EU) 2016/679 (GDPR) — EUR-Lex
Architektur-Muster für B2B-Apps
Edge & Geräte
BLE 6.0 · MQTT 5 · NB-IoT · LoRaWAN · Firmware-Update-Channel
Bidirektionale Verbindung mit Geräte-Authentifizierung (Zertifikat oder Pre-Shared-Key) und einem zuverlässigen Update-Mechanismus — die Voraussetzung für CRA-Konformität.
Telemetrie-Ingestion
NestJS · Fastify · MQTT-Broker · WebSocket · BullMQ
Hochdurchsatz-Eingang von Geräte-Daten, sauber getrennt von der Anwendungs-API. Background-Jobs für Aggregation und Alerting.
Daten- und Lifecycle-Schicht
PostgreSQL · TimescaleDB · Redis · Append-only Eventlog
Strukturierte Lifecycle-Daten (Geburts-Snapshot, Service-Historie) plus Time-Series-Telemetrie. Auditierbarkeit via unveränderlichem Eventlog.
Mobile- und Portal-Schicht
Flutter · Next.js · OIDC (Authentik) · Firebase Auth
Eine Codebasis für iOS/Android (Flutter), ein Self-Service-Portal mit strukturiertem Datenexport (Data-Act-konform), ein Admin-Cockpit für Service.
Empfohlener Stack
| Technologie | Begründung |
|---|---|
| Flutter | Eine Codebasis für iOS und Android, native BLE-Integration, schnelle Iteration im B2B-Kontext. |
| NestJS auf Fastify | Strukturierte TypeScript-Architektur, performante HTTP- und WebSocket-Schicht, klare Modularität. |
| PostgreSQL + TimescaleDB | Relationale Integrität für Lifecycle-Daten, Time-Series-Erweiterung für Telemetrie ohne separate DB. |
| MQTT 5 | OASIS-Standard für leichtgewichtiges Pub/Sub-Messaging — der De-facto-Standard für IoT-Konnektivität. |
| DigitalOcean / Hetzner (EU-Hosting) | EU-Region für Datensouveränität und CLOUD-Act-Vermeidung. Kontrolle über Infrastruktur ohne Hyperscaler-Lock-in. |
Quellen
- Regulation (EU) 2023/2854 (Data Act) — EUR-Lex
- Regulation (EU) 2024/2847 (Cyber Resilience Act) — EUR-Lex
- MQTT Version 5.0 (OASIS Standard) — OASIS
- Bluetooth Core Specification 6.0 — Bluetooth SIG
Stand: 2026-04-30
Weiter lesen
Andere Branchen
Industrie 4.0
Plattform-Software für vernetzte Produktion: Asset Administration Shell, RAMI 4.0 und EU-Compliance.
Automotive
Companion Apps, Diagnose-Tools und Telemetrie-Backends für vernetzte Fahrzeuge und Tier-1-Lieferanten.
Maschinenbau
Service-Apps, MES-Anbindung und OPC-UA-Integration für DACH-Maschinenbauer.
Facility Management
Apps und Plattformen für CAFM, Smart Building und EU-Energieeffizienz-Compliance.
Handwerk & Bau
Mobile-First-Apps für Handwerksbetriebe und Baustellen — von Auftragsabwicklung bis BIM-Anbindung.
Konkretes Vorhaben in dieser Branche?
Wir entwickeln Software, die zu den regulatorischen, technischen und organisatorischen Realitäten Ihrer Branche passt — ohne überflüssige Komplexität.