Die „Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung“, der Data Act, gilt seit wenigen Wochen (wir berichteten), ist hierzulande allerdings noch ein „zahnloser Tiger“. Denn das deutsche Durchführungsgesetz zum Data Act wurde noch nicht final besprochen und verabschiedet. Bis vor Kurzem existierte gar nur ein Referentenentwurf von Anfang Februar 2025 – also aus der vorherigen Legislaturperiode. Zu diesem Entwurf wurden eine Reihe von Stellungnahmen eingereicht (siehe hier). Seitdem war es relativ still.
Nun wurde gestern – am 29.10.2025 – offiziell und etwas überraschend vom Bundeskabinett der Referentenentwurf des Bundesministeriums für Digitales und Staatsmodernisierung verabschiedet.
Der aktuelle Regierungsentwurf zum „Gesetz zur Anwendung und Durchsetzung der Datenverordnung (Datenverordnung-Anwendungs-und-Durchsetzungs-Gesetz – DADG)“ ist relativ überschaubar und sieht u. a. folgende Regelungen vor:
Zuständigkeit der Bundesnetzagentur
Als zentrale Anlaufstelle zum Data Act soll hierzulande die Bundesnetzagentur (BNetzA) verankert werden. Ihr kommen als Bundesbehörde mit Sitz in Bonn nun auch weitere Befugnisse zu wie z. B. die Zulassung von Streitbelegungsstellen, die Durchsetzung von Verpflichtungen nach Art. 38 Data Act, das Handeln als Ermittlungsbehörde sowie die Einleitung von Ordnungswidrigkeitsverfahren (Bußgeldverfahren).
Zusammenarbeit
In § 3 DADG-RegE ist die Zusammenarbeit mit der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) bei der Überwachung des Datenschutzes bei nicht-öffentlichen Stellen und weiteren, sektoralen Behörden festgelegt. Das Regierungskabinett entschied sich diesbezüglich in Anlehnung an den früheren Entwurf der alten Regierung für die – vielfach diskutierte – Wahl der oder des Bundesdatenschutzbeauftragten für diese Rolle und entzieht sozusagen den Datenschutz-Aufsichtsbehörden der einzelnen Bundesländer diese Aufgaben, die normalerweise für diese datenschutzrechtlichen Anliegen zuständig sind. Damit wird zwar eine gewisse Zentralisierung erreicht, es droht aber für datenschutzrechtliche Anfragen aus der Privatwirtschaft womöglich ein neues „Zuständigkeiten-Wirrwarr“.
In der Begründung heißt es hierzu:
„Eine kohärente Beantwortung der Auslegungsfragen im Sinne der Rechtssicherheit wird eine intensive Abstimmung zwischen der Bundesnetzagentur und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit innerhalb der jeweiligen Zuständigkeiten erfordern. Verbliebe die Zuständigkeit für die Datenschutzaufsicht über die Wirtschaft im Anwendungsbereich der Datenverordnung bei den Datenschutzaufsichtsbehörden der Länder, würde sich die Vielzahl der zu lösenden Rechtsfragen potentiell mit der Vielzahl der im Kreis der Datenschutzaufsichtsbehörden vertretenen Rechtsauffassungen multiplizieren. Ein solcher Zustand würde Hindernisse für einen reibungslos funktionierenden Binnenmarkt für Daten kreieren und nicht beseitigen, digitale Innovationen hemmen und nicht fördern sowie einer optimalen Verteilung der Daten zum Nutzen der Gesellschaft entgegenstehen und ist damit im gesamtstaatlichen Interesse nicht hinnehmbar.“ (Seite 28 des RegE)
Bußgeldvorschriften
Zuletzt enthält der § 15 DADG-RegE noch zahlreiche, eindeutig festgelegte Bußgeldvorschriften, die bei „kleineren Verstößen“ eine Geldbuße von bis zu 50.000 Euro bzw. 100.000 Euro oder 500.000 Euro vorsehen.
Wurde der Verstoß hingegen von einer juristischen Person oder Personenvereinigung mit einem Gesamtumsatz von mehr als 250 Millionen Euro (im vorausgegangenen Geschäftsjahr weltweit erzielt) begangen, kann dieser „mit einer Geldbuße bis zu 2 Prozent des Gesamtumsatzes geahndet werden.“ (§ 15 Abs. 5 DADG-RegE)
Bei DSGVO-Verstößen soll die Zuständigkeit der BfDI liegen – da gilt der Katalog aus der DSGVO.
„Die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit ist nach Artikel 40 Absatz 4 der Datenverordnung bezüglich des Schutzes personenbezogener Daten die für die Verhängung von Geldbußen zuständige Datenschutzaufsichtsbehörde. § 43 Absatz 3 des Bundesdatenschutzgesetzes bleibt unberührt.“ (§ 16 DADG-RegE)
Wie geht es weiter?
Das ordentliche Verfahren sieht nun die Stellungnahme im Bundesrat und die Lesung im Bundestag vor, ehe es dann – im positiven Falle – zum Beschluss im Bundestag kommt. Das DADG würde dann einen Tag nach Verkündung in Kraft treten.
Unter Umständen könnte es also dann relativ schnell gehen, wenn sich die derzeit politischen Mehrheiten einig sind und keine weiteren Hürden sehen.
Aktuell ist der seit 12. September 2025 geltende Data Act hierzulande ohne deutsches Durchführungsgesetz in Kraft, d. h. es fehlt an den konkreten nationalen Regelungen zur Zuständigkeit und Umsetzung (wie z. B. auch der Befugnisse im Hinblick auf die Überwachung oder Durchsetzung von Maßnahmen bzw. Sanktionen). Insofern wäre das neue Gesetz aus Gründen der Rechtsicherheit und für eine klare Verteilung der Aufgaben zu begrüßen.
6. November 2025 @ 15:18
Die 250 Mio / 2% vom Jahresumsatz – Bußgelder beziehen sich aber nur auf Gatekeeper nach dem DMA, wenn diese bspw. Produktdaten von Nutzern verlangen, obgleich sie vom Data Act explizit von den „zulässigen Dritten, denen Daten bereitgestellt werden“ ausgenommen sind.
7. November 2025 @ 10:10
Vielen Dank für Ihren Kommentar.
Das Bußgeldmodell sollte in der Tat in diesem Beitrag verkürzt dargestellt werden, da es noch viel komplexer ist und noch viel mehr Erwägungen eine Rolle spielen können.
Es sieht im Hinblick auf diese besondere Konstellation der Absätze 4-6 (§ 15) ja eine gewisse „Verhältnismäßigkeit“ und sogar theoretisch eine unbestimmte Höhe vor (Vgl. 17 Abs. OWiG).
In der Gesetzesbegründung heißt es hierzu:
„Der von der Regelung unberührt bleibende § 17 Absatz 4 des Gesetzes über Ordnungswidrigkeiten ermöglicht eine Überschreitung der genannten Höchstmaße der Geldbußen, wenn die oder der Verstoßende aus einem der aufgezählten Verstöße gegen die Datenverordnung einen wirtschaftlichen Vorteil gezogen hat.“