Search

Das Durchführungsgesetz zum Data Act

Haykuhi Gevorgyan

Haykuhi Gevorgyan

Rechtsanwältin
  • Lesezeit: 3 minutes

Das Durchführungsgesetz zum Data Act (DADG) regelt insbesondere zwei zentrale Aspekte zum Data Act in Deutschland: die zuständigen Aufsichtsbehörden sowie die Sanktionen zur Durchsetzung des Data Acts.

In aller Kürze

  • Das Durchführungsgesetz zum Data Act wurde 26. März 2026 vom Bundestag beschlossen und tritt bereits am Tag der Verkündung in Kraft (Gesetzgebungsverfahren).
  • Ziel des Gesetzes ist die nationale Regulierung der im Data Act bewusst offen gelassenen Aspekte.
  • Komplexe Zuständigkeiten in den Aufsichtsstrukturen könnten Unternehmen vor neue Herausforderungen stellen.

Warum ein Umsetzungsgesetz zum Data Act?

Seit dem 12. September 2025 ist der Data Act (EU-Verordnung (EU) 2023/2854, Volltext) in großen Teilen direkt anwendbares Recht. Damit hat die Europäische Union einen wichtigen Baustein ihrer Datenstrategie umgesetzt. Ziel der Verordnung ist es, den Zugang zu Daten zu erleichtern und deren Nutzung innerhalb der Wirtschaft fairer zu gestalten.

Obwohl der Data Act als EU-Verordnung unmittelbar gilt, überlässt er den Mitgliedstaaten an einzelnen Stellen, z.B. in Art. 37 Data Act, die konkrete Ausgestaltung.

Genau hier setzt das nationale Durchführungsgesetz zum Data Act (DADG) an, welches der Bundestag am 26. März 2026 beschlossen hat. Es regelt insbesondere, welche Behörden in Deutschland zuständig sind und welche Sanktionen bei Verstößen drohen.

Für den Data Act zuständige Behörden in Deutschland

Ein zentraler Kernpunkt des deutschen Durchführungsgesetzes ist die Bestimmung der zuständigen Aufsichtsbehörde.

Zentrale Rolle der Bundesnetzagentur

Die Bundesnetzagentur (BNetzA) wird als primär zuständige Behörde benannt. Ihre Aufgaben umfassen insbesondere:

  • die Überwachung der Einhaltung des Data Acts,
  • die Bearbeitung von Beschwerden,
  • Ermittlungs- und Durchsetzungsmaßnahmen sowie
  • die Verhängung von Bußgeldern.

Rolle der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit

Sobald personenbezogene Daten betroffen sind, kommt die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ins Spiel. Sie überwacht die Datenverarbeitung im Rahmen des Data Acts.

Diese Zuständigkeitsverteilung führt jedoch zu praktischen Spannungen: Die BfDI wird teilweise auch für private Unternehmen zuständig – ein Bereich, der sonst überwiegend von den Datenschutzbehörden der Länder betreut wird. Dadurch kann es zu einer ungewöhnlichen Aufspaltung kommen:

  • Für normale Datenschutzfragen (ohne Data-Act-Kontext) bleibt die jeweilige Landesbehörde zuständig,
  • im Rahmen des Data Acts ist hingegen die BfDI zuständig.

Kritiker, darunter der Bundesrat und mehrere Landesdatenschutzbehörden, sehen darin für die Praxis zukünftig einen Nährboden für Rechtsunsicherheit für Unternehmen und Betroffene.

Die Bundesregierung hält dem entgegen, dass bis zu einer Modernisierung des Datenschutzaufsichtsrechts damit eine Aufspaltung eines zusammenhängenden Sachverhalts in parallele Aufsichtsverfahren vermieden werde.

Tipp: Bei der activeMind AG erfahren Sie, wie Sie personenbezogene und nicht personenbezogene Daten unter dem Data Act rechtskonform verarbeiten.

Änderung des § 87 b UrhG

Art. 2 DADG fügt in das Urheberrechtsgesetz eine bereichsspezifische Ausnahme ein. Demnach ist das Datenbankherstellerrecht (§ 87b Abs. 1 UrhG) nicht anwendbar, soweit Daten durch ein vernetztes Produkt oder einen verbundenen Dienst im Sinne des Data Acts erzeugt oder erlangt werden.

Ein Dateninhaber kann sich also nicht mehr auf das Datenbankherstellerrecht (Datenbank‑sui‑generis‑Recht)berufen, um gesetzliche Zugangs‑ oder Herausgabepflichten nach dem Data Act zu verweigern.

Sanktionen nach dem Data Act in Deutschland

Ein weiterer wesentlicher Bestandteil des Durchführungsgesetzes sind die Sanktionsregelungen.

  • 15 DADG definiert einen entsprechenden Katalog an Ordnungswidrigkeiten. Für Verstöße im Rahmen des Data Acts können Geldbußen von bis zu 500.000 Euro verhängt werden. Diese gelten jedoch nur, soweit die Zuständigkeit der BNetzA reicht.

Sobald Verstöße die Verarbeitung personenbezogener Daten betreffen, ungeachtet des Kontextes des Data Acts, greifen zusätzlich die Regeln der Datenschutz-Grundverordnung (DSGVO), § 16 DADG. Hierdurch können diese Verstöße nach Maßgabe des Sanktionskatalogs des Art. 83 DSGVO sanktioniert werden, also bis zu 20 Mio. Euro oder bis zu 4% des weltweiten Jahresumsatzes des vorausgegangenen Geschäftsjahrs.

Fazit

Wer Daten nutzt oder kontrolliert, muss sich künftig darauf einstellen, dass Dritte unter klar definierten Bedingungen daran teilhaben können, rechtlich strukturiert, technisch abgesichert und regulatorisch überwacht.

Mit dem nationalen Durchführungsgesetz schafft Deutschland die notwendigen Voraussetzungen, um die Vorgaben des Data Act wirksam durchzusetzen. Die Öffnungsklauseln werden insgesamt zurückhaltend genutzt und beschränken sich im Wesentlichen auf die organisatorische Umsetzung und Zuständigkeitsregelungen, ohne den unionsrechtlichen Rahmen auszuweiten.

Mit einer unmittelbaren Verhängung von Bußgeldern ist zwar zunächst nicht zu rechnen. Unternehmen sind jedoch gut beraten, bereits jetzt die notwendigen organisatorischen und technischen Vorkehrungen zu treffen.

Compliance als Wettbewerbsvorteil

Wir machen datengetriebene Geschäftsmodelle möglich - bei voller Wahrung des Datenschutzrechts!
Jetzt informieren!

Kontaktieren Sie uns!

+49 89 919294-900

Alle weiteren Informationen zum Umgang mit Ihren Daten finden Sie in unserer Datenschutzerklärung.

Sichern Sie sich das Wissen unserer Experten!

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.