Seit dem 12. September 2025 gilt die Verordnung (EU) 2023/2854 (Data Act) mit weitreichenden Vorgaben für den Zugang und die Nutzung von Daten in der gesamten EU und dem Europäischen Wirtschaftsraum. Der Data Act etabliert ein umfassendes, sektorübergreifendes Datenzugangs- und Datennutzungsregime. Er erfasst sowohl personenbezogene als auch nicht‑personenbezogene Daten und räumt Nutzern vernetzter Produkte sowie verbundener Dienste weitreichende Nutzungs‑ und Verwertungsrechte ein. Die Ausgestaltung der nationalen Regeln zur Durchsetzung des neuen Datenrechts ist den Mitgliedstaaten überlassen. Dies betrifft etwa die nötigen Behördenstrukturen oder Vorschriften zur Verhängung wirksamer, verhältnismäßiger und abschreckender Sanktionen nach dem Vorbild der DSGVO. Die Bundesrepublik hat bislang keine Regelungen zur Ausfüllung der nationalen Umsetzungsspielräume des Data Act getroffen. Das könnte sich nun schnell ändern. Mit dem Regierungsentwurf eines Gesetzes zur Anwendung und Durchsetzung der Datenverordnung (Datenverordnung‑Anwendungs‑und-Durchsetzungs‑Gesetz – DADG‑E) legt die Bundesregierung nun die geplante deutsche Aufsichtsstruktur, Verfahren und Bußgeldtatbestände fest.
Der Regierungsentwurf bestimmt die Bundesnetzagentur (BNetzA) als zuständige Behörde nach Art. 37 Abs. 1 Data Act. Die BNetzA soll nach § 2 DADG-E zentrale Anlauf‑, Aufsichts‑ und Beschwerdebehörde sein, einschließlich der Akkreditierung von Streitbeilegungsstellen und der nationalen Aufsicht über die Anwendung und Durchsetzung der Verordnung. Die BNetzA erhält Ermittlungs‑, Abhilfe‑, Sanktions- und Vollstreckungsbefugnisse, kann vorläufige Anordnungen treffen und Zwangsgelder bis zu 500.000 Euro festsetzen, wenn Anordnungen missachtet werden. Der DADG‑E enthält zudem Vorgaben zu Bekanntgabe‑ und Veröffentlichungsmechanismen; die BNetzA soll demnach die Öffentlichkeit regelmäßig über ihre Tätigkeit informieren sowie Handlungsempfehlungen zur praktischen Umsetzung des Data Act veröffentlichen.
Bezüglich der Überwachung des Schutzes personenbezogener Daten im Anwendungsbereich des Data Act (Art. 37 Abs. 3 Data Act) weist der Regierungsentwurf die Sonderzuständigkeit nicht den Landesdatenschutzbehörden, sondern der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) zu. Diese Zentralisierung soll laut Entwurfsbegründung kürzere Beschwerdewege und kohärente Entscheidungen sicherstellen und divergierende Vollzugspraxen der 17 Datenschutzaufsichtsbehörden vermeiden. Mit der zentralen Zuständigkeit der BfDI und der klaren Aufgabenverteilung zwischen BNetzA und BfDI kann sich insbesondere die Basis für bisherige Aussagen einzelner Landesdatenschutzaufsichtsbehörden zur Durchsetzung von Zugangsansprüchen nach dem Data Act und zur Entgegennahme von Beschwerden massiv verschieben.
Die Zuständigkeit der BfDI kann in der Praxis jedoch zu neuen Unsicherheiten führen. Die DSGVO bleibt bei der Verarbeitung personenbezogener Daten auch im Kontext des Data Act uneingeschränkt anwendbar. Allgemeine DSGVO‑Zuständigkeiten werden nicht verdrängt. Ohne zusätzliche gesetzliche Klarstellung besteht das Risiko einer parallelen Inanspruchnahme von Zuständigkeiten, wenn Landesbehörden die allgemeine DSGVO‑Durchsetzung für sich beanspruchen, die nicht allein auf Art. 37 Abs. 3 Data Act gestützt ist.
Der Regierungsentwurf sieht für Verfahren an der Schnittstelle zwischen Data Act und DSGVO eine enge behördliche Abstimmung vor: Erkennt die BNetzA, „dass ihre Entscheidung oder sonstige Handlung die Prüfung der Rechtmäßigkeit der Verarbeitung personenbezogener Daten“ erfordert, zieht sie die BfDI hinzu (§ 3 Abs. 4 DADG‑E). An deren datenschutzrechtliche Bewertung ist die BNetzA gebunden; diese fließt verbindlich in ihre abschließende Entscheidung ein. Die datenschutzrechtliche Bewertung der BfDI kann nicht isoliert, sondern nur gemeinsam mit der Entscheidung der BNetzA angegriffen werden (§ 3 Abs. 5 S. 2 DADG‑E). In solchen Fällen ist die BfDI im Gerichtsverfahren zwingend beizuladen (§ 3 Abs. 5 S. 3 DADG‑E).
Der derzeitige Regierungsentwurf normiert einen gestuften Bußgeldkatalog für Verstöße gegen den Data Act. In besonders gelagerten Fällen sind Geldbußen von bis zu 5 Millionen Euro möglich. Dies gilt für bestimmte Verstöße (insbesondere unzulässige Anreize zur Datenbereitstellung gegenüber Nutzern durch Gatekeeper nach Art. 3 der Verordnung (EU) 2022/1925 – Digital Markets Act). Bei einem solchen Verstoß kann die BNetzA gegen Unternehmen oder Unternehmensvereinigungen mit einem weltweiten Vorjahresumsatz von mehr als 250 Millionen Euro eine höhere Geldbuße bis zu 2% des weltweiten Umsatzes verhängen. Für weitere Tatbestände sieht der Regierungsentwurf niedrigere Maximalbeträge vor, die in der Praxis allerdings überschritten werden können, um wirtschaftliche Vorteile nach § 17 Abs. 4 OWiG abzuschöpfen. Danach dürfen Behörden gesetzliche Bußgeldhöchstmaße überschreiten, soweit dies zur Abschöpfung wirtschaftlicher Vorteile erforderlich ist. Viele Verstöße gegen den Data Act werden einen geschäftlichen Bezug haben und gerade auf die Erzielung von Gewinnen und sonstigen Vorteilen abzielen. Dann kann das wirtschaftliche Risiko bei Verstößen gegen den Data Act die im DADG‑E festgelegten starren Bußgeldschwellen deutlich übersteigen.
Die Begründung des DADG‑E empfiehlt den Behörden sogar ausdrücklich, diesen Weg bei Gewinnen zu wählen, die unter Verstoß gegen den Data Act erwirtschaftet wurden. Besonders praxisrelevant ist die Frage, was konkret als wirtschaftlicher Vorteil gilt und wie er zu quantifizieren ist. Die Schätzung der abzuschöpfenden Gewinne liegt jedenfalls weitgehend im Ermessen der Behörden, was in der Praxis dazu führen kann, dass betroffene Unternehmen die Darlegungs- und Beweislast dafür tragen, nachzuweisen, dass die tatsächlich erzielten Vorteile geringer waren. Hier hat die Bundesregierung die in Art. 40 Abs. 1 Data Act vorgesehene Anforderung erkennbar ernst genommen, dass Sanktionen bei Verstößen gegen den Data Act wirksam und abschreckend sein müssen.
Für Verstöße im Zusammenhang mit dem Schutz personenbezogener Daten nach Art. 40 Abs. 4 Data Act ist die BfDI die zuständige Bußgeldbehörde (§ 16 DADG‑E). Der Sanktionsrahmen der DSGVO bleibt unberührt, sodass die Datenschutzaufsicht – je nach Fallgestaltung – auch auf DSGVO‑Abhilfebefugnisse und Bußgeldnormen zurückgreifen könnte. Eine klare Abgrenzung der Zuständigkeiten und der jeweils anwendbaren Bußgeldregime enthält jedoch weder § 16 DADG‑E noch Art. 40 Abs. 4 Data Act, sodass es auch hier in der Praxis zu Abgrenzungsschwierigkeiten kommen könnte.
Die BNetzA kann private Streitbeilegungsstellen nach Art. 10 Data Act zulassen; sie führt ein Verzeichnis der zugelassenen Stellen und hat die Möglichkeit, Zulassungen einzuschränken, mit Auflagen zu versehen oder zu widerrufen (§ 5 DADG‑E).
Bei speziellen sektoralen Fragen zum Datenzugang und zur Datennutzung entscheidet die BNetzA im Einvernehmen mit den jeweils fachlich zuständigen oberen Bundesbehörden. So soll sektorspezifisches Fachwissen – etwa im Bereich von Fahrzeugdaten – gezielt eingebunden werden, ohne die Entscheidungsbefugnis der BNetzA zu beeinträchtigen.
Der Gesetzesentwurf zielt auf eine zentrale Anlaufstelle, eine gebündelte Datenschutzaufsicht sowie eine wirksame und abschreckende Sanktionierung bei Verstößen – einschließlich Geldbußen und der Abschöpfung unrechtmäßig erzielter Vorteile.
Unternehmen, die vernetzte Produkte, digitale Dienste oder Datenverarbeitungsleistungen anbieten, sollten ihre Compliance mit dem Data Act – auch im Zusammenspiel mit der DSGVO und sonstigen Digitalrechtsakten – spätestens jetzt sicherstellen. Dazu gehört insbesondere:
Der Regierungsentwurf durchläuft nun das parlamentarische Verfahren. Konkrete Fristen gibt es noch nicht. Inhaltliche Anpassungen, insbesondere zur Abgrenzung zwischen der spezifischen Data‑Act‑Datenschutzaufsicht der BfDI und der allgemeinen DSGVO‑Zuständigkeit der Länderbehörden, dürften dabei sehr praxisrelevant werden, aber auch politisch hochsensibel bleiben.
Die Bestimmung der BNetzA als zentrale Aufsichtsbehörde war erwartbar. Bemerkenswert hingegen ist das Modell einer zentralisierten Datenschutzaufsicht speziell für einen einzelnen EU-Digitalrechtsakt. Ob dies letztlich funktioniert oder sogar als Vorbote einer umfassenden Reform der Aufsichtsstruktur im Datenschutzrecht interpretiert werden kann, bleibt abzuwarten. Auf eine nachsichtige Aufsichtspraxis sollte sich die Wirtschaft nicht einstellen. Die von einem ehemaligen Verbraucherschützer geführte BNetzA ist nicht für einen nachlässigen Kurs bekannt. Und das bislang höchste (und bereits rechtskräftige) Datenschutzbußgeld in Deutschland wurde von der BfDI verhängt.
Für Unternehmen stellt die mögliche Abschöpfung wirtschaftlicher Vorteile zudem ein wesentliches Risiko dar. Betrachtet man die Komplexität und vor allem auch die umfassenden Anforderungen des Data Act und des geplanten Durchführungsgesetzes an die Digitalwirtschaft, sollten sich betroffene Unternehmen auf entsprechende Forderungen, Zivilverfahren und die Verteidigung gegen Bußgelder wegen möglicher Verstöße einstellen. Um Vollzugs- und Haftungsrisiken in Deutschland zu minimieren, sollten Unternehmen ihre Data-Act- und DSGVO-Compliance eng verzahnen – insbesondere bei technischen Schnittstellen, Prozessen und Dokumentation. Gerade Nachweise und sonstige Dokumentation sollten so erstellt werden, dass sie als überzeugendes Beweismaterial in Behörden- und Gerichtsverfahren gut geeignet sind.