Der Data Act wird scharfgestellt: Bundeskabinett bringt Durchführungsgesetz auf den Weg

Welchen Hintergrund hat der deutsche Gesetzesentwurf?

Seit dem 12. September 2025 gilt in der Europäischen Union der Data Act („DA“) – allerdings bis dato ohne zugehöriges Durchführungsgesetz in Deutschland und vielen anderen Mitgliedstaaten. Der Data Act ist, wie seine deutsche Übersetzung („Datenverordnung“) zeigt, als Verordnung konzipiert und bedarf eigentlich keiner Umsetzung durch die Mitgliedstaaten. Er fügt sich allerdings in die jüngere Tendenz europäischer Gesetzgebung ein, welche die Unterschiede zwischen Richtlinien und Verordnungen durch Teilharmonisierung zunehmend verschwimmen lässt.

Der Data Act selbst setzt jedenfalls einige Konkretisierungen zwingend voraus, insbesondere im Hinblick auf dessen Durchsetzung. Hierfür hat das Bundeskabinett am 29. Oktober 2025 den Referentenentwurf des Bundesministeriums für Digitales und Staatsmodernisierung beschlossen. Als Grundlage des Entwurfs diente der bereits in der letzten Legislaturperiode erarbeitete Referentenentwurf des Bundesministeriums für Wirtschaft und Klimaschutz und des Bundesministeriums für Digitales und Verkehr.

Was steht im Regierungsentwurf?

Im Kern dient der Entwurf vor allem dazu, die nationale Behörden- und Aufsichtsstruktur für die Durchsetzung des Data Acts festzulegen. Zentrale Regelung ist daher die Bestimmung der Bundesnetzagentur (BNetzA) als zuständige nationale Behörde in § 2 DA-DG-RegE. Demnach soll die BNetzA als allgemeine Anlaufstelle für alle Fragen im Zusammenhang mit der Durchführung des Data Act dienen sowie zusätzlich konkrete Aufgaben übernehmen. Hierzu gehören etwa die Zulassung von Streitbeilegungsstellen und die Information der Öffentlichkeit, insbesondere aber die Verfolgung und Sanktionierung von Verstößen. Dabei kann (und soll) die BNetzA die nötigen Ermittlungen führen, relevante Auskünfte verlangen, Gegenstände beschlagnahmen, vorläufige Anordnungen treffen und sogar Zwangsgelder verhängen.

Darüber hinaus regelt der Entwurf, welche Verstöße gegen den Data Act Ordnungswidrigkeiten darstellen und mit welchen Bußgeldern sie belangt werden können (§ 15 DA-DG-RegE). Zuständige Verwaltungsbehörde ist auch hier die BNetzA.

Sonderzuständigkeit der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit

Die Benennung der BNetzA als zentrale für den Data Act zuständige Behörde steht jedoch nicht allein. So sieht der Gesetzesentwurf eine „kooperative und vertrauensvolle“ Zusammenarbeit mit anderen Behörden vor.

Kontrovers, wenngleich aufgrund der Zentralisierung eher begrüßenswert, ist die nach dem Entwurf vorgesehene Zusammenarbeit der BNetzA mit der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI). Die BfDI ist nach § 3 Abs. 1 DA-DG-RegE die für den Schutz personenbezogener Daten zuständige Datenschutzaufsichtsbehörde und hat insofern eine Sonderzuständigkeit für den Datenschutz im Rahmen des Data Act. Ihre enge Zusammenarbeit mit der BNetzA soll eine hohe datenschutzrechtliche Erfahrung und Expertise gewährleisten.

Zwar obliegt der Schutz personenbezogener Daten bereits jetzt den Datenschutzaufsichtsbehörden, ist aber grundsätzlich auf Landesebene angesiedelt. Überraschend ist somit nicht, dass nach dem Entwurf eine Datenschutzaufsichtsbehörde für den Schutz personenbezogener Daten zuständig ist (dies ist zudem u.a. in Art. 1 Abs. 5 Data Act bereits angelegt), sondern dass die entsprechenden Aufgaben im Rahmen des Data Act auf Bundesebene bei der BfDI gebündelt werden. Dies soll nach der Begründung des Entwurfs aufwändige Koordinierungs- und Abstimmungsprozesse vermeiden, einheitliche Entscheidungen hervorbringen und die Dauer des Beschwerdeverfahrens verkürzen.

Die deutschen Datenschutzaufsichtsbehörden der Länder hatten kurz nach Geltungsbeginn des Data Acts in einer Reihe von inhaltlich ähnlichen Pressemitteilungen sich selbst zur jeweils zuständigen Aufsichtsbehörde für die Durchsetzung des Data Acts erklärt. Dies wollten sie unter die Bedingung stellen, dass personenbezogene Daten bei der vermeintlich verletzten Pflicht eine Rolle spielten, also beispielsweise soweit ein IoT-Gerät personenbezogene Daten verarbeitet und der Dateninhaber diese Daten nicht entsprechend der Vorschriften des Data Acts herausgibt. Ein anderes Beispiel wäre, dass der Wechsel eines Datenverarbeitungsdienstes behindert wird, wenn in diesem nicht nur anonyme Daten verarbeitet werden. Eine solche Zuständigkeit meinten die Datenschutzaufsichtsbehörden direkt dem Artikel 37 Abs. 3 Data Act entnehmen zu können:

„Die für die Überwachung der Anwendung der Verordnung (EU) 2016/679 zuständigen Aufsichtsbehörden sind bezüglich des Schutzes personenbezogener Daten auch für die Überwachung der Anwendung der vorliegenden Verordnung zuständig. Die Kapitel VI und VII der Verordnung (EU) 2016/679 finden sinngemäß Anwendung.“

Nach Ansicht der Datenschutzaufsichtsbehörden müsse der deutsche Gesetzgeber nur noch insoweit eine Aufsichtsbehörde für die Umsetzung des Data Acts festlegen, als ausschließlich anonyme Daten umfasst sind. Dadurch wären die Datenschutzaufsichtsbehörden die bei Weitem wichtigste Aufsichtsbehörde über den Data Act geworden, weil die BNetzA sich im Grunde nur noch mit reinen Maschinendaten hätte auseinandersetzen können.

Diese Ansicht schien bereits vor der Vorlage des aktuellen Gesetzesentwurfs recht fragwürdig. Insbesondere hat Artikel 37 Abs. 3 Data Act nicht etwa eine Zuständigkeit festgelegt, sofern personenbezogene Daten umfasst sind. Stattdessen geht es um eine Zuständigkeit „bezüglich des Schutzes personenbezogener Daten“. Bei den meisten Normen des Data Acts geht es jedoch nicht um Datenschutz (ganz im Gegenteil soll der „freeflow of data“ gefördert werden). Dies ergibt sich auch aus ErwGr 7 Data Act, welcher betont, der Data Act ergänze das Datenschutzrecht und lasse es unberührt. Sinnvollerweise ist Artikel 37 Abs. 3 Data Act eher so zu verstehen, dass die (wenigen) Normen des Data Acts, die tatsächlich dem Schutz personenbezogener Daten dienen, durch die Datenschutzaufsichtsbehörden beaufsichtigt werden. Dies betrifft etwa die Regelungen zu Konflikten mit der DSGVO, insbesondere Art. 1 Abs. 5 Data Act, oder eine Regelung wie Artikel 4 Abs. 12 Data Act, der eine gesonderte datenschutzrechtliche Rechtsgrundlage verlangt, wenn Daten herausgegeben werden sollen, die auf eine andere Person beziehbar sind als den Nutzer.

Zudem hätte die Ansicht der Landes-Datenschutzaufsichtsbehörden dazu geführt, dass sich die Zuständigkeit nach der – im Einzelfall durchaus komplexen – Frage bemessen würde, ob irgendein Datum, das Teil eines Data Acts-Anspruchs oder einer entsprechenden Pflicht ist, auf einen Menschen rückführbar ist. Dies kann sich im Laufe eines Verfahrens durchaus ändern – sei es in der rechtlichen Bewertung oder weil ein Verantwortlicher Mittel zur Identifizierung erhält oder entzogen bekommt. Zudem würde sich angesichts des relativen Personenbezugs die Frage stellen, auf wessen Möglichkeiten zur Identifizierung es ankommen soll. Es wären jedenfalls zahlreiche Konstellationen denkbar, in denen sich selbst inmitten eines Verfahrens die Zuständigkeit der Behörde ändern würde, weil ein Datensatz durch ein bestimmtes Datum gleichsam „infiziert“ wird. Die Datenschutzaufsichtsbehörden hätten sich überdies in der für sie recht ungewohnten Situation wiedergefunden, plötzlich die korrekte Bemessung von Vertragslaufzeiten, die Angemessenheit von Entgelten etc. beurteilen zu müssen – eine Aufgabe, die kaum Berührungspunkte mit ihrer eigentlichen Tätigkeit aufweist und hinsichtlich derer ihre Zuständigkeit mitunter von Zufällen abhängen würde.

Mutmaßlich hat der Bundesgesetzgeber diese Punkte ebenfalls erkannt, sich aber jedenfalls für die oben dargestellte, gänzlich andere Lösung der Zentralisierung entschieden.

Unterschiedliche Wertungen in der Sanktionierung

Auch der Bußgeldkatalog des Entwurfs ist interessant. Dieser sieht in § 15 DA-DG-RegE vier Kategorien von Ordnungswidrigkeiten vor. Demnach drohen bis zu EUR 5 Mio. für die höchste Kategorie, welche Verstöße durch sogenannte Torwächter betrifft. Dabei handelt es sich um Unternehmen mit Schlüsselpositionen in digitalen Märkten. Alternativ können Adressaten eines Bußgelds auch mit einem solchen in Höhe von bis zu 2 % ihres Gesamtumsatzes belegt werden.

Alle übrigen Verstöße werden abgestuft mit bis zu EUR 50.000, bis zu EUR 100.000 und bis zu EUR 500.000 geahndet. Das höchste Bußgeld droht dabei etwa für Verstöße gegen die Vorschriften zur Bereitstellung von Daten nach Art. 3 Abs. 1 DA oder Art. 4 Abs. 1 DA. In der mittleren Kategorie befinden sich beispielsweise Verstöße gegen Informationspflichten gegenüber der BNetzA sowie Verstöße gegen die Vorschriften des Art. 11 DA zu technischen Schutzmaßnahmen gegen die unbefugte Nutzung oder Offenlegung von Daten. Die niedrigste Bußgeldkategorie bis EUR 50.000 stellt schließlich eine Auffangregelung dar, welche alle nicht ausdrücklich mit höheren Bußgeldern belegten Verstöße umfasst.

Beachtlich ist dabei der recht milde Sanktionsrahmen. Im Vergleich sieht die Datenschutzgrundverordnung (DS-GVO) Bußgelder in Höhe von bis zu EUR 20 Mio.  (oder höher, je nach der Höhe des weltweiten Jahresumsatzes bis zu 4 % dessen) vor. Hier zeigt sich eine unterschiedliche gesetzgeberische Wertung: Die Sanktionierung von Verstößen im Rahmen des Data Act ist von geringerer Bedeutung als die Sanktionierung von Verstößen gegen Vorschriften zum Schutz personenbezogener Daten. Der Hintergrund hierfür ist die grundrechtliche Bedeutung des Persönlichkeitsschutzes, welche ein höheres Schutzniveau bei personenbezogenen Daten verlangt. Diese Wertung zeigt sich auch darin, dass gemäß Art. 40 Abs. 4 DA auch im Rahmen des Data Act die (strengeren) Bußgeldvorschriften der DS-GVO anzuwenden sind, wenn es um den Schutz personenbezogener Daten geht. Entsprechend begründet § 16 DA-DG-RegE die Zuständigkeit der BfDI für Bußgelder bezüglich des Schutzes personenbezogener Daten.

Bußgeldverfahren vor dem Amtsgericht

Im Vergleich zum Datenschutzrecht zeigt sich auch hinsichtlich des Rechtswegs bei Bußgeldern ein interessanter Unterschied. Grundsätzlich ist bei Ordnungswidrigkeiten die ordentliche Gerichtsbarkeit und konkret nach § 68 des Gesetzes über Ordnungswidrigkeiten (OWiG) das Amtsgericht zuständig. Diesen Grundsatz ergänzt jedoch § 41 Abs. 1 Satz 3 Bundesdatenschutzgesetz für Verstöße gegen das Datenschutzrecht um eine Zuständigkeit des Landgerichts, wenn das festgesetzte Bußgeld einen Betrag von EUR 100.000 übersteigt. Interessanterweise findet sich im Regierungsentwurf des Data Act-Durchführungsgesetzes aber keine vergleichbare Regelung. Demnach bleibt das Amtsgericht also bei Bußgeldern im Rahmen des Data Act selbst dann zuständig, wenn in der höchsten Bußgeldkategorie bis zu EUR 5 Mio. Bußgeld drohen. Ob es hierbei bleibt oder im weiteren Verfahren eine Zuständigkeit des Landgerichts ergänzt wird, wird sich zeigen.

Wie geht es jetzt weiter?

Mit dem nun auf den Weg gebrachten Gesetzesentwurf soll die nationale Rechtslage so angepasst werden, dass die Bestimmungen des Data Acts ungehindert durchgesetzt und Verstöße effektiv sanktioniert werden können. Angestrebt wurde – so das federführende Ministerium – ein möglichst bürokratiearmes und innovationsfreundliches System. Tatsächlich ist der Entwurf jedenfalls in seinem Ausmaß gut überschaubar. Inwiefern er auch zielführend ist, wird sich zeigen, falls er die weiteren Hürden des Gesetzgebungsverfahrens passiert.

Dass grundsätzlich keine „Übererfüllung“ geplant ist und stattdessen der deutsche Gesetzgeber sich jedenfalls vordergründig auf die Regelungslücken insbesondere beim Enforcement konzentriert, ist sicherlich zu begrüßen, wenngleich die Aussage, für die Wirtschaft solle „kein“ Erfüllungsaufwand bestehen, etwas realitätsfern wirkt (möglicherweise ist damit gemeint, dass allein die Regelung zu Sanktionen keinen Aufwand mit sich bringt, was bei sehr enger Betrachtung natürlich stimmt).

Bereits jetzt zeigt sich als Reaktion auf den Regierungsentwurf sowohl in der Praxis als auch in der juristischen Literatur ein gemischtes Meinungsbild. Insbesondere die Sonderzuständigkeit der BfDI wird einerseits aufgrund der Zentralisierung des Verfahrens begrüßt, andere Stimmen stellen aber die rechtliche Zulässigkeit einer solchen Regelung in Frage.

Im weiteren Verlauf stehen nun Lesungen im Bundestag und die Stellungnahme im Bundesrat an, wobei die Dauer des Verfahrens von verschiedenen Faktoren abhängt. So ist etwa die Terminierung im Bundestag entscheidend, aber denkbar sind auch Diskussionen über einzelne Punkte des Entwurfs, welche das Verfahren verlängern können. Es bleibt daher abzuwarten, ob und gegebenenfalls mit welchen Änderungen der Entwurf schlussendlich angenommen wird. Dabei ist jedenfalls nicht auszuschließen, dass mit Blick auf Rechtssicherheitserwägungen ein möglichst kurzes Verfahren angestrebt und der Entwurf zeitnah als Gesetz in Kraft treten wird.

Vielen Dank an Alexa Gablenz für die Mitwirkung bei der Erstellung dieses Insights.