Data Act: Teil 8 – Das neue deutsche DADG

Schon seit vielen Jahren verschwimmen die Grenzen zwischen europäischen Richtlinien und Verordnungen derart, dass nationale Gesetzgeber durch einige Sekundärakte aufgefordert sind, ein nationales Umsetzungs-, Anwendungs- oder Begleitgesetz zu erlassen. Oftmals gehen damit recht umfangreiche Regelungen auch zum materiellen Recht einher, etwa wenn eine Verordnung Öffnungsklauseln zu ganzen Regelungsbereichen beinhaltet oder bestimmte Ausnahmemöglichkeiten zulässt. Als Beispiel sei das deutsche Bundesdatenschutzgesetz genannt, das neben der Datenschutz-Grundverordnung für Rechtsanwender in Deutschland sehr relevant ist und in vielen Fällen „mitgedacht“ werden muss. 

Im Falle des Data Acts (oder der „Datenverordnung“) hat sich der deutsche Gesetzgeber (wenngleich sicherlich auch aufgrund fehlender Öffnungsklauseln) hingegen eine erfreuliche Zurückhaltung auferlegt und sich auf wenige Regelungen insbesondere zu Zuständigkeiten und Sanktionsmöglichkeiten beschränkt. Dieses Gesetz zur Anwendung und Durchsetzung der Datenverordnung (Datenverordnung-Anwendungs-und-Durchsetzungs-Gesetz – DADG) vom 26. Mai 2026 ist am 30. Mai 2026 in Kraft getreten. Seine wichtigsten Inhalte sind die folgenden: 

Behördliche Zuständigkeiten

Eine der am kontroversesten diskutierten Fragen in der datenrechtlich interessierten Öffentlichkeit betraf die Frage, welche nationalen Behörden den Data Act eigentlich umsetzen sollten. Die Datenschutz-Aufsichtsbehörden der Länder hatten offensiv auf eine eigene wichtige Rolle gedrungen und zum Teil auf ihren Webseiten Positionspapiere veröffentlicht, wonach sie den Data Act in weiten Teilen durchsetzen sollten. Im Kern berief sich diese Ansicht auf Art. 37 Abs. 3 Data Act, nach dem „bezüglich des Schutzes personenbezogener Daten“ die für die Überwachung der DSGVO zuständigen Behörden auch für die Überwachung des Data Acts zuständig sein sollen. Das Wort „bezüglich“ ließ sich daraufhin in verschiedene Richtungen interpretieren – entweder beschränkt auf Konfliktfälle und explizite, auf die DSGVO bezugnehmende Regelungen des Data Acts, oder extensiv auf jedwede Regelung des Data Acts, solange an irgendeiner Stelle ein Personenbezug der zugrunde liegenden Daten besteht. Letzteres – teilweise von den Datenschutz-Aufsichtsbehörden der Länder vertreten – hätte in der Konsequenz dazu geführt, dass diese recht sachfremd zu ihren bisherigen Aufgaben sehr spezielle Data Act-Regelungen hätten durchsetzen müssen, beispielsweise was die Frage der Angemessenheit einer Marge i.S.d. Art. 9 Abs. 1 Data Act anbelangt. 

Der deutsche Gesetzgeber hat diese Diskussion beendet und die Bundesnetzagentur („BNetzA“) als zentrale Behörde für die Überwachung der Anwendung des Data Acts bestimmt (§ 2 DADG). §§ 3 und 4 DADG regeln daneben die Kooperation mit anderen Aufsichtsbehörden, wobei die vertrauensvolle Zusammenarbeit in datenschutzrechtlichen Fragen aufgrund der Bedeutung dieser Schnittstelle mit einer eigenen Norm bedacht wurde (§ 3). Danach ist zuständige Aufsichtsbehörde „bezüglich des Schutzes personenbezogener Daten“ nicht die jeweilige Aufsicht des Landes, sondern die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit („BfDI“). Dies erscheint insoweit begrüßenswert, als Inkonsistenzen in der Auslegung des Gesetzes durch zahlreiche verschiedene Aufsichtsbehörden der Länder (anders als im Rahmen der DSGVO-Aufsicht) hier vermieden werden. 

Was genau die Formel „bezüglich des Schutzes personenbezogener Daten“ und die damit verbundene Zuständigkeit beinhaltet, wird sich in der Praxis der Zusammenarbeit der beiden Behörden zeigen. Man wird sicherlich davon ausgehen können, dass der teilweise vertretene Ansatz, es reiche irgendein Personenbezug in Datensätzen (s.o.), nicht entscheidend sein wird. Stattdessen geht es nach hier vertretener Einschätzung insbesondere um Fälle eines Konflikts zwischen der DSGVO und dem Data Act (insb. geregelt in Art. 1 Abs. 5 Data Act), Fragen der Rechtmäßigkeit der Verarbeitungen personenbezogener Daten oder auch um die Frage, ob überhaupt ein Personenbezug vorliegt als Voraussetzung für Normen des Data Acts, die Anonymität voraussetzen. Letzteres ist sehr relevant bei der Frage, ob Dateninhaber Daten des Nutzers für eigene Zwecke auch ohne einen Vertrag mit diesem Nutzer verarbeiten dürfen – eine in der Praxis sehr wichtige Weggabelung. 

Bemerkenswerterweise ist die BNetzA nach § 3 Abs. 5 DADG an die Rechtsauffassung des BfDI hinsichtlich der Rechtmäßigkeit der Verarbeitung personenbezogener Daten gebunden, nicht aber hinsichtlich anderer datenschutzrechtlicher Fragen (z.B. des Personenbezugs von Daten). In der Praxis ist davon auszugehen, dass derartige Fragen faktisch durch die BNetzA eigenständig beantwortet werden oder im Fall einer Involvierung des BfDI diesem kraft der dort angesiedelten Fachkompetenz ein Vorrang der Auslegung eingeräumt wird. 

Territorial bestimmt sich die Zuständigkeit der Aufsichtsbehörde nach dem Hauptsitz des Rechtsträgers (etwa des Dateninhabers) in der Union. Sofern ein Rechtsträger etwa in der Union IoT-Geräte bereitstellt, aber über keine Niederlassung in der Union verfügt, muss er nach Art. 37 Abs. 11 Data Act einen Vertreter in der Union benennen. Nach dessen Ansässigkeitsort bemisst sich, wessen Aufsichtsbehörde zuständig ist, um gegen den Rechtsträger vorzugehen (Art. 37 Abs. 13 Data Act). Es ist mangels expliziter Regelung wohl davon auszugehen, dass die jeweilige Aufsichtsbehörde ihr eigenes Recht anwenden wird. Für die Frage, in welchem Mitgliedstaat ein solcher Vertreter ansässig wird, mag es eine sinnvolle Strategie sein, die Sanktionsapparate der mitgliedstaatlichen Umsetzungsgesetze zu analysieren und im Zweifel einen Staat mit einem eher milden Bußgeldkatalog zu wählen. Hier mag es perspektivisch zu Angleichungen kommen, die durch den Europäischen Dateninnovationsrat (European Data Innovation Board „EDIB“) koordiniert werden sollen, s. Art. 40 Abs. 3 und Art. 42 Data Act.  

Aufsichtsbehördliche Befugnisse

Die BNetzA wird durch §§ 6 ff. DADG zu umfassenden aufsichtsbehördlichen Maßnahmen ermächtigt. 

In erster Linie darf die BNetzA sämtliche Ermittlungen durchführen, die zur Durchsetzung des Data Acts erforderlich sind. Dies schließt die Anhörung von Zeugen und Sachverständigen ebenso wie die Beweiserhebung durch Augenschein ein. Deren Details richten sich nach der Zivilprozessordnung (§ 7 DADG). 

Die BNetzA darf sowohl auf Basis einer Beschwerde als auch von Amts wegen tätig werden. 

Verpflichtete nach dem Data Act (bzw. deren Stellvertreter bei juristischen Personen) müssen nach § 8 DADG auf Anforderung Auskünfte erteilen und geschäftliche Unterlagen vorlegen. Begrüßenswert ist dabei die Aufnahme des „nemo tenetur“-Grundsatzes, wonach diese Pflicht ihre Grenzen in Fällen der möglichen Selbstbelastung findet. Interessanterweise scheint diese Möglichkeit nicht nur für die natürlichen Personen als Vertretungsorgane zu bestehen, sondern möglicherweise auch für die juristischen Personen selbst (also beispielsweise den Dateninhaber, der bestimmte interne Unterlagen zur Konstruktion eines IoT-Geräts ggf. verweigern kann). Dieser Punkt ist bereits in der datenschutzrechtlichen Parallelnorm des § 40 Abs. 4 BDSG umstritten und wird es bis zu einer gerichtlichen Klärung sicherlich auch bei der Anwendung des DADG sein. 

Die BNetzA kann in einem in § 9 DADG im Detail geregelten Verfahren verlangen, dass ein bestimmter Verstoß gegen den Data Act abgestellt wird. Sollte sie eine Anordnung oder Untersagung aussprechen, richtet sich dies nach dem Verwaltungs-Vollstreckungsgesetz, wobei ein Zwangsgeld i.H.v. maximal 500.000 Euro angeordnet werden kann. 

Nach dem Data Act Verpflichtete können überdies nach einem in § 10 DADG näher ausformulierten Verfahren Geschäftsgeheimnisse als solche kennzeichnen. Dies wird grundsätzlich vor einer Einsichtnahme Dritter berücksichtigt. Wenn die BNetzA derartige Geschäftsgeheimnisse bezweifelt, muss der Verpflichtete vor einer unbeschränkten Einsichtnahme Dritter angehört werden. 

Besonderes Instrument: Bußgelder

Wie in ähnlichen Gesetzen üblich, sieht auch das DADG einen Katalog an Verstößen und entsprechenden Bußgeldsummen, abgestuft nach „Schweregrad“, vor. Anders als aber beispielsweise im Fall der DSGVO hat sich der Unionsgesetzgeber darauf beschränkt, die Höhe der Bußgelder (jenseits allgemeiner Anforderungen an die Wirksamkeit, Verhältnismäßigkeit und Abschreckung) vollständig auf den nationalen Gesetzgeber zu übertragen, so dass sich unionsweit insofern ein heterogenes Bild ergeben wird. Der europäische Gesetzgeber flankiert dies in Art. 40 Abs. 3 Data Act lediglich durch einige wenige Kriterien, die bei der Bemessung von Sanktionen allgemein berücksichtigt werden sollen (z.B. die Schwere des Verstoßes, Vorverhalten, den Jahresumsatz etc.).  

Der Katalog sieht nach § 15 Abs. 4 DADG vier Stufen vor: 

• Die höchstmögliche Geldbuße i.H.v. maximal 5 Millionen Euro (oder bis zu 2 Prozent des Gesamtumsatzes, s. § 15 Abs. 5 DADG) droht Torwächtern nach dem Digital Markets Act, die entgegen Art. 5 Abs. 3 Buchstabe a oder b rechtswidrig auf den Nutzer einwirken, damit ihm Daten bereitgestellt werden – ein wohl recht exotischer Sonderfall. 
• Sehr praxisrelevant dürfte die nächste Stufe werden, in welcher Geldbußen i.H.v. maximal 500.000 Euro verhängt werden dürfen. Dies betrifft insbesondere den Kern der „IoT-Vorschriften“ des Data Acts, also beispielsweise die fehlende oder unvollständige Bereitstellung von Daten an den Nutzer oder Dritte durch den Dateninhaber, aber auch die unrechtmäßige Verwendung von Daten durch den Dateninhaber selbst ohne eine vertragliche Basis. Interessanterweise wird auch ein Verstoß gegen Art. 3 Abs. 1 Data Act (Ermöglichung des direkten Datenzugangs durch entsprechende Produktkonzeption) mit diesem recht hohen Bußgeld versehen, obschon es nach bislang herrschender Meinung (einschließlich der Europäischen Kommission) weitgehend im Ermessen des Dateninhabers steht, ob er den direkten Datenzugang nach Art. 3 Abs. 1 Data Act ermöglicht oder die Daten gem. Art. 4 Abs. 1 Data Act bereitstellt.
• Die nächste Schwelle möglicher Bußgelder liegt bei maximal 100.000 Euro und betrifft einen breiten Strauß an möglichen Verstößen gegen den Data Act. Beispielhaft seien genannt die unzulässige Schaffung von Hindernissen für einen Wechsel zwischen Verarbeitungsdiensten (Art. 23 S. 2 Data Act) oder die fehlende Löschung von Daten durch Dritte, die Daten auf Verlangen des Nutzers erhalten haben (Art. 6 Abs. 1 S. 2 Data Act). 
• Übrige Verstöße können mit einer Geldbuße i.H.v. maximal 50.000 Euro bedacht werden. 

Wohl lediglich klarstellend bestimmt Art. 40 Abs. 4 Data Act, dass Datenschutz-Aufsichtsbehörden bei Verstößen gegen Kapitel II, III und V des Data Acts (d.h. insb. betreffend die „IoT-Regeln“) „innerhalb ihres Zuständigkeitsbereichs“ Bußgelder nach der DSGVO verhängen können. Als Ausnahme der sonstigen Zuständigkeit im Datenschutzrecht soll hierfür nach § 16 DADG der oder die BfDI zuständig sein. Welches Fehlverhalten unter den Zweiklang aus „Verstoß gegen Kapitel II, III und V Data Act“ und der Zuständigkeit der Datenschutz-Aufsichtsbehörden fallen soll, mag in einigen Fällen für Unklarheit sorgen. Denkbar wäre etwa ein Streit um die Frage einer gültigen Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO bei einer Datenherausgabe des Dateninhabers an einen Dritten nach Art. 5 Abs. 7 Data Act. 

Weitere Regelungen

• Die BNetzA wird durch § 5 DADG ermächtigt, Streitbeilegungsstellen nach Art. 10 Abs. 5 Data Act zuzulassen, die sich etwa mit der Rechtmäßigkeit vertraglicher Regelungen zwischen dem Dateninhaber und dem Nutzer oder der Zulässigkeit einer Entscheidung des Dateninhabers, die Herausgabe von Daten an Dritte zu verweigern, beschäftigen. Ob diese Streitbeilegungsstellen in der Praxis relevant werden, wird sich erst noch herausstellen. 
• Die BNetzA wird im Übrigen die Öffentlichkeit über ihre Tätigkeit sowie über die Lage und Entwicklung bei der Umsetzung des Data Acts informieren (§ 13 DADG). Ähnlich wie im Fall der Datenschutz-Aufsichtsbehörden sollen dabei beispielsweise auch Handlungsempfehlungen und ähnliche Dokumente veröffentlicht werden. 
• Die Kommunikation mit der BNetzA wird im Regelfall elektronisch ablaufen (§ 14 DADG). 

Ergebnis

Das DADG beschränkt sich weitgehend auf Fragen der Durchsetzbarkeit des Data Acts. Es entlastet – wohl dank fehlender Öffnungsklauseln im Data Act – damit den Rechtsanwender von einem zu kleinteiligen und über verschiedene Legislationen erstreckten materiell-rechtlichen Regelungsteppich. 

Der Sanktionsapparat bleibt (mit Ausnahmen bei bestimmten inzidenten Datenschutzverstößen, s. Art. 40 Abs. 4 Data Act) hinter vergleichbaren Regelungen etwa aus dem Kartellrecht oder dem Datenschutzrecht zurück, insbesondere durch den weitgehenden Verzicht auf den gruppenweiten Umsatz als Bemessungsgröße. Für Anbieter aus Drittstaaten mag die Frage der Ansiedelung eines Vertreters in der Union eine wichtige strategische Fragestellung sein. Angesichts der recht milden maximalen Bußgeldhöhen könnte Deutschland hierfür sogar ein ernst zu nehmender Kandidat für einen Standort sein.