Lange hat es gedauert, doch nun wurde das deutsche Gesetz zur Durchführung des EU Data Acts verabschiedet und verkündet (vgl. BGBl.-Nr.: 157). Hierzulande ist der Data Act auch bekannt als die „Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung“.
Das „Datenverordnung-Anwendungs-und-Durchsetzungs-Gesetz“ (DADG) regelt u. a. die hiesigen und komplexen Zuständigkeiten, weitere Verfahrensvorschriften sowie den Bußgeldrahmen. Das Gesetz ist am 30. Mai 2026 in Kraft getreten und schließt endlich – und rund neun Monate verspätet – die Lücke zur europäischen Data-Act-Verordnung (Datenverordnung), sodass die Vorgaben nun konkret hierzulande auch tatsächlich geprüft bzw. geahndet werden können. Der erste bekannte Referentenentwurf wurde im Februar 2025 veröffentlicht; der erste große Schwung kam dann durch den neuen Regierungsentwurf vom Oktober 2025 (wir berichteten).
In den letzten Monaten wurde während des Gesetzgebungsverfahrens (u. a. im Bundesrat und Bundestag) über die Zuweisung der Zuständigkeiten für die Aufsicht gestritten. Hier war die zentrale Frage, ob die einzelnen Datenschutz-Aufsichtsbehörden der Länder auch die Aufsicht über die Durchführung des Data Acts hinsichtlich „privatwirtschaftlicher“ Stellen haben (so war es teilweise der Wunsch der Aufsichtsbehörden) oder ob hier eine zentrale Aufsicht, bspw. durch die Bundesnetzagentur (BNetzA), angestrebt wird. Letzteres Konzept setzte sich durch und steht im Einklang mit dem nationalen Bestreben der „Zentralisierung“ der Aufsicht bzw. der generellen Entbürokratisierung.
Doch im Hinblick auf die öffentlichen Stellen wiederum sind auch weiterhin die jeweiligen Datenschutzaufsichtsbehörden der einzelnen Bundesländer zuständig. Dies geht einher mit der datenschutzrechtlichen Aufsicht über die öffentlichen Stellen und ist insofern verfassungsrechtlich der richtige Weg (siehe auch § 40 Bundesdatenschutzgesetz (BDSG)). Eine erste Mitteilung zur Zuständigkeit gab es vom Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI).
Die wichtigsten Vorschriften im Überblick
§ 2 DADG: Zuständigkeiten und Aufgaben
Die BNetzA ist grundsätzlich die zentrale, zuständige Behörde für die Anwendung und Durchsetzung des Gesetzes.
§ 3 DADG: Weitere Zuständigkeiten und Zusammenarbeit
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ist „die für die Überwachung der Anwendung der Datenverordnung bezüglich des Schutzes personenbezogener Daten zuständige Datenschutzaufsichtsbehörde für nicht-öffentliche Stellen.“
Für die öffentlichen Stellen bleibt es bei der bisherigen Aufsichtsstruktur, d. h. die einzelnen Aufsichtsbehörden der Bundesländer haben hier weiterhin die Aufsicht hinsichtlich der Verarbeitung von personenbezogenen Daten. Die kooperative und vertrauensvolle Zusammenarbeit mit der BNetzA wird vorausgesetzt.
§§ 6–14 DADG: Befugnisse, Beschwerdeverfahren, sonstige Verfahren
Die Befugnisse, das Beschwerdeverfahren und sonstige Verfahren zur Durchsetzung durch die BNetzA werden in diesen Vorschriften im Einzelnen geregelt.
§ 15 DADG: Bußgeldvorschriften
In diesem sehr komplexen Paragraphen wird der Bußgeldrahmen geregelt, der sich u. a. nach den jeweiligen Verstößen wie auch der Größe des Unternehmens richtet und Geldbußen bis zu zwei Prozent des weltweit erzielten Gesamtumsatzes – bei juristischen Personen mit einem Gesamtumsatz von mehr als 250 Millionen Euro – vorsieht. Dies knüpft an das Verfahren nach dem Gesetz über Ordnungswidrigkeiten (OWiG) an.
Wesentliche Änderungen im Vergleich zum früheren Referentenwurf vom Oktober 2025 bestehen nicht.
Fazit
Ende gut, alles gut? Insgesamt scheint mit der im DADG verankerten Aufsichtsstruktur ein gewisser „Kompromiss“ gefunden worden zu sein, andererseits dürfte es für außenstehende Personen vielleicht nicht ganz nachvollziehbar sein, dass letztlich für die Kontrolle der Durchführung eines Gesetzes drei unterschiedliche Behörden mit unterschiedlichen Sitzen infrage kommen.
Für öffentliche Stellen, aber allen voran für die Unternehmen in Deutschland, gilt es spätestens nun, sich den Anforderungen aus dem Data Act bewusst zu sein, da nun auch formelle Verfahren, Beanstandungen und Kontrollen drohen. Die Pflichten aus dem Data Act, z. B. zum Abschluss eines Datennutzungsvertrags für nicht-personenbezogene Daten, ergeben sich ja bereits seit dem 12. September 2025. Weitere Informationen dazu finden Sie auch hier: dsn-group.de/compliance/data-act
Keine Kommentare