Ein Rückschritt für die Praxis?

Mit dem europäischen Data Act, der ab dem 12. September 2025 unmittelbar gilt, beginnt für Unternehmen und Datenschutzverantwortliche eine neue Ära der Datenregulierung. Der Fokus liegt zwar primär auf nichtpersonenbezogenen Daten, doch viele Regelungen betreffen auch personenbezogene Informationen – insbesondere beim Teilen von Daten mit Dritten. Hier wird die Expertise interner Datenschutzbeauftragter essenziell, etwa bei der Einschätzung des Personenbezugs oder der Prüfung datenschutzrechtlicher Grundlagen. 

Der deutsche Referentenentwurf zum Durchführungsgesetz (DA-DG-E) sorgt jedoch für erhebliche Unruhe. Statt der im Unionsrecht vorgesehenen einheitlichen Datenschutzaufsicht durch die DSGVO-Behörden, schlägt der Entwurf eine geteilte Zuständigkeit vor: Die Bundesnetzagentur (BNetzA) soll Hauptaufsichtsbehörde werden, unterstützt durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI). Die Landesdatenschutzbehörden bleiben außen vor – ein klarer Bruch mit dem europäischen Gleichlaufprinzip. 

Besonders kritisch: Der BfDI soll laut Entwurf keine eigenen Entscheidungen treffen, sondern lediglich Zuarbeit für die BNetzA leisten. Beschwerden, Ermittlungen und rechtswirksame Entscheidungen liegen allein bei der BNetzA. Dies widerspricht der klaren Regelung des Art. 37 DA, wonach die Datenschutzbehörden für personenbezogene Daten zuständig sind – inklusive aller Befugnisse. Die BfDI würde damit auf eine beratende Rolle reduziert, ohne eigene Außenwirkung. Die Prüfungsergebnisse sollen zwar in die Entscheidungen der BNetzA einfließen, jedoch unter deren Briefkopf und alleiniger Rechtsverantwortung. 

Für die Praxis bedeutet das: Unternehmen müssten sich künftig mit bis zu drei Behörden abstimmen – BNetzA, BfDI und ihrer örtlichen Datenschutzbehörde. Gerade bei Mischdatenbeständen oder unklarer Datenkategorisierung entsteht ein erheblicher Mehraufwand. Die angestrebte Zentralisierung wird zur bürokratischen Zersplitterung. Besonders problematisch ist, dass die BfDI keine eigenen Entscheidungen treffen darf, wodurch auch das europäische Kooperationsverfahren nach Art. 60 DSGVO unterlaufen wird. 

Die Landesdatenschutzbehörden bereiten sich bereits auf ihre Rolle nach dem Data Act vor – gemäß Art. 37 Abs. 3 DA wären sie ab September automatisch zuständig, sollte keine rechtzeitige nationale Regelung erfolgen. Der aktuelle Entwurf steht jedoch auf wackeligen europarechtlichen Beinen und könnte in Teilen unanwendbar sein. Unternehmen droht damit eine Phase der Unsicherheit und Rechtsstreitigkeiten über Zuständigkeiten und Verfahrenswege. 

Informationssicherheit im Data Act Durchführungsgesetz – Anforderungen und Herausforderungen 

Der Data Act enthält zahlreiche technische und organisatorische Anforderungen, die direkt in den Bereich der Informationssicherheit fallen. Besonders relevant sind die Artikel 23 bis 26 der EU-Verordnung, die Datenverarbeitungsdienste – insbesondere Cloudanbieter – verpflichten, Daten Portabilität sicherzustellen und Wechselbarrieren zu minimieren. 

Der deutsche Entwurf konkretisiert diese Anforderungen nicht umfassend, verweist jedoch auf die Pflicht zur sicheren Datenverarbeitung und zur Wahrung von Geschäftsgeheimnissen. Die BNetzA erhält weitreichende Ermittlungsbefugnisse, darunter Durchsuchungen, Beschlagnahmungen und die Sicherung digitaler Beweise – vergleichbar mit den Befugnissen der Kartellbehörde. Dies erfordert eine robuste IT-Infrastruktur und klare Prozesse zur Sicherstellung von Vertraulichkeit, Integrität und Verfügbarkeit der Daten. 

Für Unternehmen bedeutet das: 

• Technische Maßnahmen müssen so gestaltet sein, dass Datenzugang und -weitergabe kontrolliert und nachvollziehbar erfolgen.
• Vertragliche Regelungen mit Cloudanbietern müssen sicherstellen, dass Datenmigration und Zugriff durch Dritte sicher und DSGVO-konform erfolgen.
• Organisatorische Prozesse müssen die Einhaltung von Zweckbindungsprinzipien und Löschpflichten gewährleisten – auch bei automatisierten Datenflüssen.

Besonders kritisch ist die fehlende Klarheit im Umgang mit Geschäftsgeheimnissen: Zwar dürfen diese gegenüber der BNetzA geschwärzt werden, ein standardisierter Schutzmechanismus fehlt jedoch. Dies birgt Risiken für die Informationssicherheit und den Schutz sensibler Unternehmensdaten. 

Fazit:

Der Entwurf des DA-DG-E verfehlt nicht nur eine praxistaugliche Datenschutzaufsicht, sondern lässt auch zentrale Fragen der Informationssicherheit offen. Unternehmen müssen frühzeitig technische und organisatorische Vorkehrungen treffen, um den Anforderungen des Data Acts gerecht zu werden – und dabei mit einer komplexen Aufsichtslandschaft umgehen. Ohne ein funktionierendes Managementsystem für die Informationssicherheit & den Datenschutz werden die beschriebenen Anforderungen schwierig nachweislich gegenüber den Aufsichtsbehörden umzusetzen sein. #

Quellenverzeichnis:

1. Ambrock, Jens (2025): Sonder-Datenschutzaufsicht nach dem Entwurf des Data Act Durchführungsgesetzes, Datenschutz-Berater, Ausgabe 03/2025. 
   – Fachartikel mit detaillierter Analyse der geplanten Aufsichtsstruktur und Kritik am Referentenentwurf.

2. Europäische Kommission (2023): Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung (Data Act). 
   – Offizieller Text des Data Act, insbesondere Art. 37 zur Aufsichtsstruktur und Art. 23–26 zu Informationssicherheit.

3. BMWK & BMI (2025): Referentenentwurf eines Gesetzes zur Durchführung des Data Act (DA-DG-E), veröffentlicht am 5. Februar 2025. 
   – Grundlage für die nationale Umsetzung des Data Act in Deutschland.

4. EDSA (2025): Anonymisierungsguidelines (Entwurf). 
   – Erwartete Veröffentlichung zur Operationalisierung datenschutzrechtlicher Anforderungen im Kontext des Data Act.

5. EuGH (2025): Rechtssache Deloitte (C-413/23 P) – Schlussanträge des Generalanwalts und erwartetes Urteil zur Abgrenzung personenbezogener Daten. 
   – Relevanz für die praktische Anwendung des Data Act bei gemischten Datensätzen.