Am 26. März verabschiedete der Bundestag die Durchführungsgesetze für zwei wichtige EU-Rechtsakte zum Datenrecht, namentlich den Data Act und den Data Governance Act. Da die beiden Verordnungen notwendigerweise einige Themenbereiche, die in die Gesetzgebungskompetenz der EU-Mitgliedsstaaten fallen, nicht regeln konnten, sind nationale Durchführungsgesetze erforderlich.

In diesen hat der deutsche Gesetzgeber nun die Aufsichtsbehörden und deren Zuständigkeiten sowie Verfahren und Sanktionen festgelegt. Die Bundesnetzagentur erhält eine Vielzahl weiterer Zuständigkeiten und bei der Datenschutzaufsicht geht der Gesetzgeber einen Weg, mit dem er schon während des Gesetzgebungsverfahrens in die Kritik geraten ist.

Daten sind das "neue Öl"

Mit dem Data Act (VO 2023/2854 EU) möchte der EU-Gesetzgeber insbesondere Datenmonopole aufbrechen. An Daten gibt es – mit Ausnahme des Datenschutzrechts – im Wesentlichen keine originären Rechte, wie Besitz oder Eigentum. Das führte dazu, dass Hersteller von vernetzten Produkten oder Anbieter von verbundenen Diensten solche nicht personenbezogenen Daten unreguliert nutzen und wirtschaftlich verwerten konnten. Vom Traktor, der wertvolle Daten zur Bodenbeschaffenheit an seinen Hersteller funkt, über den Maschinenhersteller, der Daten seiner Maschinen sammelt, auswertet und in die Weiterentwicklung einfließen lässt, bis zum Smart-Home-Device, das Heiz- und Lüftverhalten in Wohnungen und Häusern erfasst, konnten Hersteller und Anbieter bisher Daten unreguliert nutzen. Daten sind das "neue Öl".

Der Data Act gibt den Nutzerinnen und Nutzern nun ein Recht auf Datenzugang für sich oder andere Dienstleister, die Mehrwertdienste mit den Daten erbringen. Damit will die EU die Datenökonomie ankurbeln und den Markt für datengetriebene Geschäftsmodelle öffnen. Zusätzlich gibt der Data Act den Nutzenden von standardisierten Cloud-Diensten das Recht, ihren Anbieter kurzfristig zu wechseln und verpflichtet Anbieter, diesen Wechsel zu ermöglichen.

Mit dem Data Governance Act (VO 2022/868 EU) will die EU nicht nur rechtliche, sondern auch organisatorische und technische Voraussetzungen für die gemeinsame Datennutzung schaffen. Zentrale Elemente sind sogenannte Datenmittler. Das sind neutrale Akteure, die den Austausch von Daten zwischen Unternehmen oder zwischen Bürgerinnen und Bürgern sowie Datenempfängern vermitteln. Sie dienen als "vertrauenswürdige Dritte", vergleichbar mit Treuhändern, und sollen sicherstellen, dass beim Teilen von Daten Transparenz, Sicherheit und Datenschutz gewahrt bleiben.

Ein weiterer wichtiger Baustein sind die "anerkannten datenaltruistischen Organisationen". Diese können sich registrieren lassen, wenn sie Daten für Zwecke des Gemeinwohls – etwa für die Wissenschaft, Gesundheitsforschung oder Nachhaltigkeit – sammeln und bereitstellen.

Der Europäische Dateninnovationsrat soll dabei gemeinsame Standards, Interoperabilität und den Austausch zwischen nationalen Behörden sicherstellen. Ziel ist es, eine einheitliche, vertrauenswürdige und datenschutzkonforme Infrastruktur als Fundament der zukünftigen europäischen Datenräume zu errichten.

Ein Name wie ein Bandwurm

Datenrechtlerinnen und Datenrechtler sind in den letzten Jahren in Bezug auf die Bezeichnung von Gesetzen einiges gewöhnt. Hier sei nur das TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) genannt. Nach dem Inkrafttreten des europäischen Digital Services Act, musste der Begriff des "Telemediums" in "digitale Dienste" geändert und das Gesetz in das nicht weniger unhandliche TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, oft T3D-Gesetz) umbenannt werden. Auch die neuen Gesetzesvorhaben enttäuschen in dieser Hinsicht nicht.

Das deutsche DADG (Data-Act-Durchführungsgesetz) soll Regelungen zur Durchführung der europäischen Datenverordnung (auch Daten-Gesetz genannt, engl. Data Act) enthalten. Das deutsche DGG (Daten-Governance-Gesetz) soll Regelungen zur Durchführung des europäischen Daten-Governance-Rechtsakts (Data Governance Act) enthalten.

Neue Zuständigkeiten der Bundesnetzagentur

Für den Data Act benennt das DADG die Bundesnetzagentur als zuständige Behörde. Sie ist die zentrale Anlaufstelle für die Bearbeitung von Beschwerden, die Aufsicht, die Zulassung privater Streitbeilegungsstellen sowie für die Berichtspflichten gegenüber der EU-Kommission.

Auch für den Data Governance Act wird die Bundesnetzagentur als zuständige Aufsichtsbehörde für Datenvermittlungsdienste und datenaltruistische Organisationen eingesetzt. Sie überwacht das Anmeldeverfahren und die Einhaltung der Regelungen des Data Governance Act. Daneben wird das Statistische Bundesamt als operativer Mittler geschützte Verwaltungsdaten für Forschung und Innovation zugänglich machen.

Datenschutzrechtliche Aufsicht – it’s complicated

Das DGG regelt die datenschutzrechtliche Aufsicht nicht, sodass die Zuständigkeit bei den im Übrigen ebenfalls zuständigen Landesdatenschutzbeauftragten verbleibt. Demgegenüber geht das DADG einen neuen Weg, indem es der Bundesdatenschutzbeauftragten die datenschutzrechtliche Aufsicht über die Privatwirtschaft im Bereich des Data Act zuweist. Das ist auch sinnvoll. Gerade beim komplexen Zusammenspiel von Data Act und Datenschutzrecht ist es – da der Data Act gerade die Datenwirtschaft befeuern soll – vorteilhaft, wenn es nur eine statt sechzehn Datenschutzaufsichtsbehörden gibt. Damit gibt es auch nur eine statt sechzehn Meinungen zur Auslegung des Datenschutzrechts.

Allerdings erscheint die Regelung europa- und verfassungsrechtlich problematisch. Denn nach dem Data Act sollen die im Übrigen zuständigen Datenschutzaufsichtsbehörden – in Deutschland die Landesdatenschutzbeauftragten – zuständig sein. Zum anderen müsste mit der Bundesdatenschutzbeauftragten eine Bundesbehörde die Landesbehörden in der Umsetzung des Data Act kontrollieren, was dem allgemeinen föderalen Ordnungsprinzip widerspricht.

Aber auch das Verwaltungsverfahren wird durch diese Regelung komplexer. Die Bundesnetzagentur ist als federführende Behörde für das Verwaltungsverfahren verantwortlich. Bei ihrer Entscheidung ist sie aber an die datenschutzrechtliche Bewertung der Bundesdatenschutzbeauftragten gebunden. Bundesnetzagentur und Bundesdatenschutzbeauftragte haben sich gegenseitig zu beteiligen, wenn datenschutzrechtliche Fragestellungen im Bereich des Data Act im Verwaltungsverfahren relevant werden, und die Bundesdatenschutzbeauftragte ist im verwaltungsgerichtlichen Verfahren notwendig beizuladen.

Ermittlungen, Anordnungen und Bußgelder

Grundsätzlich kann die Bundesnetzagentur nach dem DADG und nach dem DGG auf Beschwerde oder von Amts wegen ein Verwaltungsverfahren einleiten und den Sachverhalt aufklären. Bei Verstößen kann sie Abhilfe verlangen und zur Durchsetzung ihrer Anordnungen Zwangsgelder von bis zu 500.000 Euro verhängen.

Im Verwaltungsverfahren nach dem DADG müssen Unternehmen zur Sicherung ihrer Betriebs- oder Geschäftsgeheimnisse die Unterlagen als geschützt markieren und zusätzlich eine geschwärzte Version vorlegen, die ohne Verletzung von Betriebs- oder Geschäftsgeheimnissen eingesehen werden kann. Beim Ausbleiben dieser Maßnahmen darf die Bundesnetzagentur davon ausgehen, dass Zustimmung in die Einsichtnahme besteht.

Weitere Unterschiede zwischen den beiden Durchführungsgesetzen gibt es bei der Höhe der möglichen Bußgelder. Während das DADG Bußgelder von bis zu fünf Millionen Euro bzw. 2% des weltweiten Vorjahresumsatzes nennt, beträgt das Bußgeld nach dem DGG maximal 500.000 Euro. Hier liegt der Fokus darauf, weiterer Verstöße zu verhindern. Die Bundesnetzagentur kann daher im Extremfall anordnen, dass der Datenvermittlungsdienst seine Tätigkeiten aussetzen oder ganz einstellen muss. Datenaltruistischen Organisationen drohen Bußgelder von maximal 25.000 Euro. Ihnen kann aber die Bezeichnung „anerkannte datenaltruistische Organisation“ aberkannt und die Entscheidung veröffentlicht werden.

Darf Hoffnung aufkeimen?

Im Ergebnis ist zunächst positiv hervorzuheben, dass die erforderlichen Regelungen für die nationale Durchführung von Data Act und Data Governance Act, die beide bereits in Kraft und in weiten Teilen anwendbar sind, nun endlich vorliegen. Beide europäische Rechtsakte sind grundsätzlich zu begrüßen, waren in den letzten Jahren aber auch berechtigter Kritik ausgesetzt.

Besonders der Data Act fällt mit unklaren und teils widersprüchlichen Regelungen, missglückten Definitionen zentraler Akteure und sinnverändernden Übersetzungen negativ auf. Dies trägt nicht zur Rechtssicherheit bei. Das DADG glättet die Wogen diesbezüglich nicht. Die Konzentration der Datenschutzzuständigkeit bei der Bundesdatenschutzbeauftragten für Data-Act-Fälle ist rechtspolitisch nachvollziehbar, verfahrensrechtlich aber riskant. Zwei Behörden, ein Verwaltungsakt, ein Gerichtsverfahren mit notwendiger Beiladung. Der Gesetzgeber hat vorausschauend eine Evaluierung der Behörden- und Aufsichtsstruktur spätestens nach vier Jahren vorgesehen. Beim Bußgeldrahmen ist es ähnlich. Der Gesetzentwurf selbst empfiehlt, die Bußgeldpraxis im Zusammenspiel mit anderen EU-Digitalakten zu evaluieren und an eine entstehende europäische Vollzugspraxis anzupassen.

Daran zeigt sich, dass sich nicht nur die Datenwirtschaft, sondern auch Gesetzgeber und Verwaltung an die neuen Regelungen und Strukturen erst noch herantasten müssen. Man ist fast geneigt, Hoffnung in schnellere und agilere Gesetzgebung zu fassen. Dann muss der Gesetzgeber aber die selbst gesteckten Ziele der zeitnahen Evaluierung und Anpassung auch ernst nehmen und umsetzen. Erste Anzeichen gibt es auf Europäischer Ebene, wo die Kommission Ende 2025 den Digitalen Omnibus vorgestellt hat. Dabei handelt es sich um einen umfassenden Reformvorschlag zu Digital- und Datengesetzen (DSGVO, Data Act, KI-Verordnung u.a.), die teilweise noch nicht vollständig wirksam geworden aber trotzdem schon veraltet sind. 

Adrian Freidank ist Rechtsanwalt und Fachanwalt für IT-Recht bei der Luther Rechtsanwaltsgesellschaft in Köln. Er berät nationale und internationale Mandantinnen und Mandanten zu datengetriebenen Geschäftsmodellen sowie die öffentliche Hand.