Kabinett verschlankt Aufsicht durch BNetzA, entschärft Sanktionen und klärt Zuständigkeiten mit der BfDI.
Am 29. Oktober 2025 hat das Bundeskabinett den Entwurf des Data Act-Durchführungsgesetzes (DA-DG) verabschiedet. Der Kabinettsentwurf zeichnet klar ab, wie der seit dem 12. September 2025 geltende Data Act in Deutschland durchgesetzt werden soll – insbesondere, welche Behörden- und Sanktionsstrukturen künftig gelten sollen.
Wie das Bundesministerium für Digitales und Verkehr (BMDS) betont, erfolgt die Umsetzung des Data Act eins zu eins, also ohne zusätzliche nationale Anforderungen. Damit verzichtet Deutschland hier auf das sog. „Gold-Plating“ und setzt stattdessen auf eine schlanke, praxisnahe Regulierung. Im Vordergrund steht die Beratung der Unternehmen, nicht ein Übermaß an Kontrolle oder „Overenforcement“.
Im Folgenden fassen wir zusammen, welche zentralen Änderungen der Kabinettsentwurf gegenüber dem Referentenentwurf vom Februar 2025 vorsieht – insbesondere bei Zuständigkeiten, Aufsichtsstrukturen und Sanktionen – und was dies für Unternehmen in der Praxis bedeutet.
BNetzA bleibt Vollzugsbehörde – Zusammenarbeit mit der BfDI präzisiert
Auch nach dem Kabinettsentwurf bleibt die Bundesnetzagentur (BNetzA) zentrale Aufsichtsbehörde für die Anwendung und Durchsetzung des Data Act. Sie wird Ansprechpartnerin für Beschwerden, Aufsichtsverfahren und Fragen der praktischen Umsetzung. Die Bundesregierung hält damit an ihrem Konzept fest, die Überwachung des europäischen Datenrechts in einer Behörde zu bündeln; die Bundesnetzagentur ist bereits für den Digital Services Act und den Data Governance Act zuständig und soll künftig auch den AI Act beaufsichtigen.
Beim Umgang mit personenbezogenen Daten im Rahmen des Data Act soll ausschließlich die Bundesdatenschutzbeauftragte (BfDI) zuständig sein und dabei eng mit der BNetzA zusammenarbeiten. Beide Behörden müssen sich gegenseitig beteiligen, wenn ihre Aufgaben Berührungspunkte mit dem Data Act haben. Stellt die BNetzA fest, dass personenbezogene Daten betroffen sind, entscheidet die BfDI über die Rechtmäßigkeit der Verarbeitung nach der DSGVO. Diese Einschätzung ist für die BNetzA verbindlich und kann nur gemeinsam mit deren endgültiger Entscheidung angefochten werden. Damit sollen widersprüchliche Entscheidungen vermieden und Rechtssicherheit geschaffen werden. Die Landesdatenschutzbehörden sind nicht zuständig. Auch Bußgelder bei Datenschutzverstößen im Zusammenhang mit dem Data Act darf nur die BfDI verhängen. Der Gesetzgeber begründet die Konzentration der Zuständigkeit auf Bundesebene ausdrücklich mit Effizienzgesichtspunkten: Die Bündelung von Verwaltungsaufgaben bei einer zentralen Behörde reduziere den personellen und finanziellen Aufwand erheblich und beschleunige die Bearbeitung komplexer Sachverhalte. Zudem ermögliche eine einheitliche Aufsicht eine kohärente Auslegung des europäischen Datenrechts und vermeide Kompetenzkonflikte zwischen Bund und Ländern.
Reduzierte Ausstattung – schlankere, aber fokussierte Aufsicht
Eine wesentliche Änderung betrifft den Ressourceneinsatz. Die BNetzA erhält für den Vollzug des Data Act deutlich weniger Personal als zunächst vorgesehen. Anstelle der ursprünglich geplanten 59,7 Vollzeitstellen werden nun rund 19 Planstellen geschaffen. Die BfDI erhält ihrerseits 17,1 Vollzeitstellen, um die datenschutzrechtlichen Aspekte des Data Act wahrnehmen zu können.
Beide Behörden sollen ihre Kapazitäten „bedarfsorientiert“ nachsteuern können, falls sich im Vollzug ein höherer Personalbedarf ergibt. Damit setzt der Kabinettsentwurf auf eine kompaktere, aber spezialisierte Aufsichtsstruktur.
Eingeschränkte Ermittlungsbefugnisse – Streichung von Durchsuchungen und Beschlagnahmen
Die im Referentenentwurf noch vorgesehenen Ermittlungsinstrumente, insbesondere die Befugnisse zu Durchsuchungen und Beschlagnahmen, wurden gestrichen. Die BNetzA behält weiterhin weitgehende Auskunfts- und Prüfungsrechte sowie die Möglichkeit, Unterlagen anzufordern und Zeugen zu befragen. Auf besonders eingriffsintensive Maßnahmen wird jedoch verzichtet. Dies entspricht dem Ziel, ein verhältnismäßiges Durchsetzungsregime zu etablieren, das einerseits wirksam, andererseits aber auch verhältnismäßig ausgestaltet ist.
Zwangs- und Bußgelder im Data Act-Durchführungsgesetz neu gefasst
Der Kabinettsentwurf überarbeitet auch den Sanktionsrahmen. Das Höchstmaß für Zwangsgelder zur Durchsetzung von Anordnungen der BNetzA wird von bislang zehn Millionen Euro auf EUR 500.000 abgesenkt. Die Bußgeldstruktur bleibt im Grundsatz erhalten, ist jedoch präzisiert: geringfügige Verstöße können mit bis zu EUR 50.000 geahndet werden, mittlere Verstöße mit bis zu EUR 100.000 und schwere Verstöße mit bis zu EUR 500.000. Die Zahl der bußgeldbewehrten Tatbestände wurde reduziert, sodass nicht jeder Verstoß gegen den Data Act automatisch eine Ordnungswidrigkeit darstellt. Für sogenannte „Gatekeeper“ im Sinne des Digital Markets Act gelten weiterhin erhöhte Sanktionen – nunmehr bis zu fünf Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Auch der insofern vorgesehene Prozentsatz von vier Prozent wurde damit halbiert.
DA-DG-Kabinettsentwurf: Zentrale BNetzA-Aufsicht, kein Gold-Plating – schlanke Data-Act-Umsetzung mit mehr Rechtsklarheit für Unternehmen
Mit dem Kabinettsentwurf des DA-DG liegt nun der konsolidierte Rahmen für den Vollzug des Data Act in Deutschland vor. Die Bundesregierung verfolgt damit eine klare Linie: eine zentrale, effiziente und praxisnahe Aufsicht bei der BNetzA, eine präzise Abgrenzung datenschutzrechtlicher Zuständigkeiten sowie ein verhältnismäßiges, aber wirksames Sanktionsregime.
Positiv hervorzuheben ist, dass der Kabinettsentwurf den Fokus ausdrücklich auf Kooperation und Beratung legt und damit bewusst auf übermäßige Regulierung („Overenforcement“) verzichtet. Zugleich setzt der Entwurf ein klares Signal für weniger Bürokratie und verzichtet auf „Gold-Plating“ – also darauf, EU-Vorgaben ohne zusätzliche nationale Anforderungen umzusetzen, um Mehrbelastungen und Abweichungen vom europäischen Standard zu vermeiden. Die Umsetzung des Data Act erfolgt schlank, praxisorientiert und innovationsfreundlich – im Sinne einer modernen, wettbewerbsfähigen Datenwirtschaft.
Für Unternehmen bedeutet dies mehr Rechtsklarheit,insbesondere hinsichtlich der Ansprechpartner, der Verfahren und der möglichen Sanktionen. Gleichwohl bleibt abzuwarten, wie sich die Aufsichtspraxis der BNetzA und des BfDI entwickelt, sobald die Regelungen ab September 2025 in der Praxis greifen. Die Erfahrung mit dem Data Governance Act und dem Digital Services Act legt nahe, dass die BNetzA ihre Rolle als zentrale Datenaufsicht zügig etablieren wird.
Unternehmen sollten bereits jetzt prüfen, ob ihre Datenverarbeitungs- und Herausgabeverfahren, Vertragsstrukturen und internen Compliance-Prozesse mit den Anforderungen des Data Act und den künftig durch die BNetzA überwachten Pflichten im Einklang stehen.
Mit unserer CMS Blog-Serie „#CMSdatalaw“ geben wir Ihnen einen Überblick über das Datenrecht wie z.B. den Data Act und den Data Governance Act. Den in unsere Blog-Serie einführenden Beitrag finden Sie hier. Besuchen Sie zum Datenrecht zudem gern unsere CMS Insight-Seite „Data Law“.
