Der Referentenentwurf zeigt, wie der Data Act in Deutschland umgesetzt werden soll. Der Entwurf enthält auch erstmals den „Bußgeldkatalog“ für Verstöße gegen den Data Act.
Am 11. Januar 2024 trat die Verordnung des Europäischen Parlamentes und Rates (EU) 2023/2854 (Data Act) in Kraft, und legt neue Regeln zum Umgang mit Daten fest. Ab dem 12. September 2025 sind die meisten Regelungen des Data Act unmittelbar anwendbar. Der Vollzug obliegt den Mitgliedsstaaten, weshalb es nationaler Durchführungsgesetze bedarf. Der erste Referentenentwurf des Data Act-Durchführungsgesetz (DA-DG-Entwurf) zeigt, wie Deutschland die Umsetzung und Überwachung des Data Acts plant.
Dieser Blogbeitrag skizziert die wesentlichen Inhalte des DA-DG-Entwurfs und beleuchtet zentrale Punkte des geplanten Durchführungsgesetzes.
Bundesnetzagentur als zentrale Aufsichtsbehörde
Nach dem DA-DG-Entwurf soll die Bundesnetzagentur (BNetzA) künftig als zentrale Aufsichtsbehörde für die Umsetzung und Durchsetzung des Data Acts. Damit übernimmt sie die Verantwortung für sämtliche Fragen rund um die Anwendung des Data Acts sowie die Bearbeitung von Beschwerden. Diese neue Aufgabe erweitert das Zuständigkeitsgebiet der BNetzA erheblich: Sie entwickelt sich zu einer zentralen Aufsichtsbehörde, die nicht nur die Einhaltung des Data Acts, sondern auch des AI Acts (gemäß erstem KIMÜG-Entwurf), des Digital Services Acts (DSA) sowie des Data Governance Acts (DGA) überwacht.
Bei der Überwachung und Durchsetzung des Data Acts soll die BNetzA eng mit anderen Behörden zusammenarbeiten. Dies gilt insbesondere für sektorale Angelegenheiten, bei denen eine finale Entscheidung im Benehmen mit der jeweils zuständigen Fachbehörde getroffen wird – also nach vorheriger Konsultation und Abstimmung.
Wichtige Rolle der Aufsichtsbehörde
Insbesondere durch den großen Interpretationsspielraum einiger Bestimmungen wird die Aufsichtsbehörde zeitnah eine zentrale Rolle spielen müssen. Interessante Entscheidungen sind beispielsweise im Zusammenspiel zwischen Data Act und DSGVO, sowie in der Auslegung der Definition „abgeleiteter Daten“ zu erwarten.
Ob sich erste Signale hinsichtlich einer zu Beginn weniger strikten Durchsetzung so bewahrheiten, bleibt abzuwarten. Unabhängig davon wird eine klare und zügig etablierte Linie seitens der Aufsichtsbehörde entscheidend sein, um Rechtsunsicherheiten zu vermeiden und eine effiziente Umsetzung zu ermöglichen.
Verhältnis zur Datenschutzaufsicht
Eine Sonderrolle kommt dem oder der Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) zu, der für die Einhaltung des Datenschutzes im Rahmen des Data Acts verantwortlich ist. Die Zusammenarbeit mit der BNetzA soll dabei kooperativ und vertrauensvoll erfolgen. Die Gesetzesbegründung zum DA-DG-Entwurf gibt einen ersten Einblick, wie sich der Gesetzgeber diese Zusammenarbeit vorstellt: Zunächst prüft die BNetzA, ob eine datenschutzrechtliche Bewertung durch den BfDI erforderlich ist. Falls ja, werden die relevanten Unterlagen zur weiteren Untersuchung an den BfDI übermittelt. Anschließend erfolgt die Prüfung und Bewertung durch den BfDI, die somit eine Sonderzuständigkeit erhält. Die vom BfDI durchgeführte Bewertung wird sodann Bestandteil der Entscheidung der BNetzA. Eine isolierte Anfechtung des datenschutzrechtlichen Teils der Entscheidung soll nicht möglich sein.
Der vorgesehene Mechanismus dürfte in der Praxis häufig zur Anwendung kommen. Im Hinblick auf Erwägungsgrund 34 des Data Acts, wonach bei untrennbaren Datensätzen von personen- und nicht-personenbezogenen Daten im Zweifel von personenbezogenen Daten auszugehen ist, liegt es nahe, dass zukünftig mehrheitlich Fälle sowohl von der BNetzA als auch vom BfDI bearbeitet werden müssen.
Umfassende Untersuchungsbefugnisse
Die BNetzA erhält umfassende Befugnisse zur Überwachung und Durchsetzung des Data Acts. Das bedeutet, dass die BNetzA ihre Befugnisse nicht nur im Rahmen von Beschwerdeverfahren, sondern auch bei Datenerhebungen für Marktbeobachtungszwecke ausüben kann und mit Amtsermittlungsgrundsatz agiert.
Dazu gehört das Recht, umfassende Ermittlungen durchzuführen und Beweise zu sichern – sei es durch Augenscheinnahme, Zeugenvernehmungen oder Sachverständigengutachten. Darüber hinaus stehen ihr Instrumente wie die Anforderung von Auskünften, Durchsuchungen und Beschlagnahmungen zur Verfügung. Auffällig ist die starke Anlehnung des Gesetzgebers an die Befugnisregelungen im Rahmen des Gesetzes gegen Wettbewerbsbeschränkungen (GWB). Die BNetzA erhält ähnlich weitreichende Ermittlungsbefugnisse wie die Kartellbehörde. Viele Regelungen scheinen nahezu wortgleich übernommen zu sein.
Musterverfahren zur Prozessbeschleunigung
Der DA-DG-Entwurf sieht einen Mechanismus zur Steigerung der Verfahrenseffizienz und Beschleunigung vor: Die BNetzA kann nach eigenem Ermessen ein sogenanntes Musterverfahren einleiten. Dies ist möglich, wenn bei der Behörde mindestens drei Beschwerdeverfahren zur gleichen Streitfrage eingehen.
In einem solchen Fall kann die BNetzA zunächst ein Verfahren vorrangig behandeln, während die übrigen Verfahren vorübergehend ausgesetzt werden. Laut Gesetzesbegründung ist dieser Ansatz besonders dann relevant, wenn die Beschwerden denselben Hersteller oder Dateninhaber betreffen oder ähnliche sektorspezifische Sachverhalte vorliegen. Dadurch soll eine einheitliche Entscheidungsgrundlage geschaffen und die Bearbeitung der Verfahren insgesamt effizienter gestaltet werden.
Bevor die BNetzA die Verfahren jedoch offiziell zusammenlegt, muss sie die Zustimmung der Beteiligten einholen. Die Betroffenen können jedoch auch proaktiv handeln und selbst eine Zusammenlegung bei der Behörde beantragen.
Schutz der Betriebs- und Geschäftsgeheimnisse
Klare Regelungen zum Schutz von Geschäftsgeheimnissen enthält der DA-DG-Entwurf – ebenso wie der Data Act – nicht. Bereits im Data Act ist geregelt, dass das Vorliegen von Geschäftsgeheimnissen kein generelles Verweigerungsrecht gegenüber einem Datenherausgabeverlangen begründet.
Der DA-DG-Entwurf beschränkt sich auf Regelungen zum Schutz von Geschäftsgeheimnissen gegenüber der BNetzA. Im behördlichen Verfahren ist es dem Geheimnisinhaber erlaubt, eine geschwärzte Kopie der Unterlagen einzureichen, um eine Weitergabe an andere Verfahrensbeteiligte zu verhindern. Ein standardisierter Schutzmechanismus zur offiziellen Einstufung von Informationen als vertraulich und zur Verpflichtung der Beteiligten zur Geheimhaltung fehlt jedoch. Ob die Verfahrensbeteiligten Zugang zu den Informationen erhalten, entscheidet die BNetzA. Sie prüft, ob die Informationen schützenswert sind — eine Entscheidung, die für den Geheimnisinhaber ausschlaggebend ist.
Buß- und Zwangsgelder
Mit dem Referentenentwurf wird auch erstmals der geplante „Bußgeldkatalog“ für Verstöße gegen den Data Act veröffentlicht. Während geringfügige Verstöße mit bis zu EUR 50.000 geahndet werden, drohen bei mittleren Verstößen Geldbußen von bis zu EUR 100.000. Schwerwiegende Verstöße können sogar mit bis zu EUR 500.000 sanktioniert werden.
Besonders strenge Vorgaben gelten für sogenannte Torwächter — Unternehmen, die Schlüsselpositionen in digitalen Märkten kontrollieren und von der EU-Kommission als „Gatekeeper“ benannt wurden. Der Data Act legt für sie spezielle Pflichten fest. Bei Verstößen drohen Bußgelder von bis zu 5 Millionen Euro oder bis zu 4 % des EU-weiten Jahresumsatzes des vorherigen Geschäftsjahres, je nachdem, welcher Betrag höher ausfällt.
Nach dem DA-DG-Entwurf ist bei der Festsetzung des Bußgeldes der EU-weite Jahresumsatz des vorangegangenen Geschäftsjahres zu berücksichtigen. Gerade bei Torwächtern kann dies zu einer doppelten Berücksichtigung des Umsatzes führen.
Neben Bußgeldern können auch Zwangsgelder von bis zu EUR 10 Mio. zur Durchsetzung einer Anordnung der BNetzA verhängt werden.
Unterschiedliche Rechtswege
Je nach Art der Sanktion unterscheiden sich die zuständigen Gerichte. Gegen Zwangsgelder ist der Rechtsweg vor den Verwaltungsgerichten eröffnet. Werden hingegen Bußgelder verhängt – unabhängig von ihrer Höhe –, sind die Amtsgerichte als Strafgerichte zuständig. Das bedeutet, dass selbst Bußgelder von über EUR 5 Mio. vor einem Einzelrichter am Amtsgericht verhandelt werden, was einen klaren Unterschied zu DSGVO-Verfahren darstellt.
Das Verfahren selbst dürfte jedoch ähnlich wie bei DSGVO-Verstößen ablaufen: Die Bemessung der Geldbuße liegt im pflichtgemäßen Ermessen des zuständigen behördlichen Sachbearbeiters oder des Tatrichters. Dieser hat dabei ein umfassendes Bild sowohl von der Tat als auch vom Täter zu gewinnen. Bei der Festsetzung der Höhe der Geldbuße kann neben dem persönlichen Vorwurf gegenüber dem Täter auch seine wirtschaftlichen Verhältnisse berücksichtigt werden.
Ausblick: Umsetzung des Durchführungsgesetzes
Der Referentenentwurf des DA-DG bietet zwar einen soliden ersten Ansatz für die Umsetzung des Data Acts in Deutschland, doch viele Fragen bleiben weiterhin offen. Besonders die Gestaltung der interdisziplinären Zusammenarbeit und die Befugnisse der BNetzA bieten noch Spielraum für weitere Konkretisierungen durch den Gesetzgeber. Es bleibt daher abzuwarten, ob und in welcher Form dieser Entwurf letztlich umgesetzt wird.
Die vorgeschlagene Rolle der BNetzA als zuständige Aufsichtsbehörde scheint hingegen vielversprechend. Angesichts ihrer zukünftigen Zuständigkeit für zahlreiche europäische Verordnungen dürfte die BNetzA – künftig – über das notwendige Fachwissen verfügen, um die komplexen und übergreifenden Regelungen des Data Acts effektiv zu überwachen und durchzusetzen.
Mit unserer CMS Blog-Serie „#CMSdatalaw“ geben wir Ihnen einen Überblick über das Datenrecht wie z.B. den Data Act und den Data Governance Act. Den in unsere Blog-Serie einführenden Beitrag finden Sie hier. Besuchen Sie zum Datenrecht zudem gern unsere CMS Insight-Seite „Data Law“.
*Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.
Dieser Blogbeitrag ist durch Kooperation zwischen Capgemini (Lukas Schröder als Mitautor) und CMS entstanden. Capgemini Invent als führende Strategie- und Managementberatung und CMS als internationale Großkanzlei beraten zu allen Aspekten der digitalen Transformation.
