Datenschutzbehörden bringen sich für die Umsetzung des Data Act in Stellung
Der EU Data Act (DA) gilt seit dem 12. September 2025. Er bringt massive Umwälzungen für viele digitale Geschäftsmodelle und ein komplett neues Datenrecht. Sind die im Rahmen eines Geschäftsmodells genutzten Daten personenbezogen (also nicht anonym), sind die Datenschutzbehörden für die Überwachung des Data Act zuständig. Daher beanspruchen die deutschen Datenschutzaufsichtsbehörden bei der Durchsetzung des Datenrechts eine zentrale Rolle.
Der vorliegende Client Alert fasst die wesentlichen Vorgaben des Data Act und die Folgen für Unternehmen zusammen und gibt einen Ausblick und Ratschläge zum weiteren Vorgehen.
Welche Pflichten bringt der Data Act mit sich?
Der Data Act verpflichtet Hersteller von vernetzten Produkten und damit verbundenen Diensten, deren Nutzern weitreichende Zugriffs- und Nutzungsrechte an den von ihnen erzeugten Daten zu gewähren. Produkte und verbundene Dienste müssen so gestaltet sein, dass ein einfacher, möglichst direkter Datenzugang möglich ist. Daten dürfen nicht mehr exklusiv behandelt werden, sondern müssen auf faire und transparente Weise geteilt werden, auch gegenüber Dritten. Diese Regelung gilt sowohl für personenbezogene als auch für nicht personenbezogene, also anonyme Daten. Für Anbieter von Cloud- und Datenverarbeitungsdiensten regelt der Data Act daneben besondere Vorgaben zur Datenportabilität und zum erleichterten Anbieterwechsel. Zudem bestehen umfassende Informations- und Transparenzpflichten gegenüber Nutzern. Auch Behörden können in bestimmten Fällen Zugriff auf Daten verlangen.
Wer kontrolliert die Einhaltung des Data Act in Deutschland?
Soweit die von vernetzten Geräten, verbundenen Diensten und Datenverarbeitungsdiensten genutzten Daten nicht anonym, sondern personenbezogen sind, sind die Datenschutzbehörden für die Durchsetzung des Data Act zuständig (Art. 37 Abs. 3 DA). Für den Bereich der nicht-personenbezogenen Daten hat der Bundesgesetzgeber bislang noch keine zuständige Behörde benannt. Es gilt zwar als wahrscheinlich, dass die Bundesnetzagentur künftig zusätzliche Befugnisse erhält. Bis dahin bleibt die Aufsicht über den neuen Digitalrechtsakt jedoch faktisch bei den Datenschutzbehörden. Diese können dabei auf ihre jahrelangen Erfahrungen und Möglichkeiten aus der Durchsetzung der Datenschutz-Grundverordnung (DSGVO) zurückgreifen.
Sanktionsrahmen: (Noch) keine Bußgelder nach Art. 40 DA – aber DSGVO-Risiken
Verstöße gegen die Bestimmungen des Data Act können empfindliche Bußgelder zur Folge haben. Wichtig ist: Die Datenschutzaufsichtsbehörden können derzeit noch keine Bußgelder nach Art. 40 DA verhängen, da es bislang an einer entsprechenden Umsetzungsnorm in Deutschland fehlt. Dennoch warnen die Behörden bereits, dass Verstöße gegen den Data Act – sofern personenbezogene Daten betroffen sind – regelmäßig auch einen Verstoß gegen die DSGVO bedeuten können.
In Fällen, in denen (auch) personenbezogene Daten von den Regelungen des Data Act umfasst sind, müssen sämtliche Anforderungen der DSGVO eingehalten werden. Insbesondere könnten Datenschutzaufsichtsbehörden fehlende Datenzugangs- oder Freigabemechanismen oder sonstige Missachtungen des Data Act als Verstoß gegen Art. 5 Abs. 1 lit. b DSGVO werten. Zudem ließe sich bei einem Verstoß gegen den Data Act vor der Behörde nur schwer argumentieren, dass die Datenverarbeitung berechtigten Interessen nach Art. 6 Abs. 1 lit. f dient. Damit steht faktisch der gesamte Sanktionskatalog der DSGVO zur Verfügung – von Untersuchungs- und Abhilfebefugnissen (Art. 58 DSGVO) bis hin zu empfindlichen Geldbußen (Art. 83 DSGVO).
Erste Signale der Aufsichtsbehörden
Die Datenschutzbehörden machen bereits deutlich, dass sie ab dem 12. September 2025 aktiv den Vollzug des Data Act übernehmen und unter Nutzung ihrer DSGVO-Befugnisse insbesondere die Einhaltung der neuen Zugangsrechte nach dem Data Act überwachen werden. Sowohl der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) als auch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) haben öffentlich angekündigt, entsprechende Beschwerden von Nutzern entgegenzunehmen und zu prüfen. Besonders interessant: Als beschwerdeberechtigt nennen die Datenschutzbehörden nicht nur betroffene Nutzer, sondern auch Dritte, denen der Data Act einen Datenzugang einräumt.
Was bedeutet der Data Act für Unternehmen?
Unternehmen sollten spätestens jetzt aktiv werden und eine Bestandsaufnahme durchführen: Welche Produkte, Services und Verträge sind vom Data Act betroffen? Technische Schnittstellen und Prozesse für den Datenzugang und die Datenweitergabe müssen geschaffen und eng mit den Anforderungen der DSGVO verzahnt werden. Verträge mit Kunden, Dienstleistern oder Cloud-Anbietern müssen überprüft und angepasst werden, um unzulässige Beschränkungen beim Datenzugang zu vermeiden und die umfassenden Informations- und Transparenzpflichten zu erfüllen. Auch interne Zuständigkeiten und Abläufe müssen so gestaltet sein, dass aufsichtsbehördliche Anfragen zügig und rechtssicher beantwortet werden können.
Fazit und Ausblick
Die Datenschutzbehörden werden auch weiterhin die zentrale Rolle bei der Kontrolle und Durchsetzung des Data Act spielen – zumindest, solange keine weiteren Aufsichtsstrukturen geschaffen sind. Eine „Eingewöhnungszeit“ der Behörden wie bei den Anfängen der DSGVO ist bei der Umsetzung des Data Act nicht zu erwarten. Die Behörden können auf jahrelange Erfahrung in der Durchsetzung der DSGVO zurückgreifen und sämtliche Abhilfe- und Sanktionsbefugnisse nutzen. Unternehmen sollten die Umsetzung der neuen Vorgaben nicht aufschieben, sondern die Data-Act-Compliance unmittelbar angehen und ihre Prozesse, Verträge und IT-Landschaft entsprechend anpassen.
Wer frühzeitig und strukturiert handelt, minimiert Risiken und ist für behördliche Anfragen und Prüfungen ebenso gut gerüstet wie für Klagen vor Zivilgerichten.