Kritik an Aufsichtsstruktur für Data Act
Der Data Act der EU verfolgt das Ziel, die Nutzung von Daten aus vernetzten Produkten und digitalen Diensten zu erleichtern und gleichzeitig klare rechtliche Rahmenbedingungen zu schaffen. Doch die deutsche Umsetzung des Data Acts durch das geplante Data Act Durchführungsgesetz (DADG) birgt erhebliche rechtliche Probleme. Besonders die Zuständigkeitsverteilung zwischen Bundes- und Landesbehörden in Bereich des Datenschutzes wirft Fragen auf. Deshalb haben die unabhängigen Datenschutzbehörden der Länder am 13.03.2025 eine Stellungnahme zum DADG abgegeben, in der sie insbesondere Kritik an der Aufsichtsstruktur für den Data Act aussprechen.
Überblick zum Data Act
Nachdem das Europäische Parlament und der Europäische Rat den Data Act im November 2023 angenommen haben, ist das Gesetz am 11.01.2024 in Kraft getreten. Ab dem 11.09.2025 wird das Gesetz anwendbar. Mit ihm eröffnet sich eine neue Ära, die den Zugang zu Daten auf dem europäischen Markt vereinfachen soll.
Hiermit ergeben sich für Bürger und Unternehmen verschiedene Änderungen. Konkret geht es um Daten von vernetzten Produkten und verbundenen Diensten (Stichwort: Internet of Things). Während das Gesetz dem Einzelnen insbesondere vollständige Zugangs- und Nutzungsrechte für seine Daten einräumt und er entscheiden kann, wer seine Daten erhält, verbessert sich die Situation auch für Unternehmen und den öffentlichen Sektor. Zudem sollen öffentliche Stellen in Notfällen relevante Daten einsehen können. Hierbei ist allgemein zu beachten, dass es sich beim Data Act nicht um eine Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten handelt und insofern weiterhin die Datenschutzgrundverordnung (DSGVO) zu beachten ist.
Regeln zur nationalen Aufsicht
Nach Art. 37 Abs. 1 S. 1 Data Act muss jeder Mitgliedstaat eine Behörden benennen, die für die Anwendung und Durchsetzung dieser Verordnung verantwortlich sind. Nach § 2 Abs. 1 des Referentenentwurfs für das DADG (DADG-E) soll dies die Bundesnetzagentur (BNetzA) sein. Laut Art. 37 Abs. 3 Data Act sollen zudem diejenigen nationalen Datenschutzaufsichtsbehörden, die bereits für die DSGVO zuständig sind, auch die Einhaltung des Data Acts im Bereich personenbezogener Daten überwachen. Nach § 3 DADG-E soll dies die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sein.
Verstoß gegen Europarecht
Laut Ansicht der Landesdatenschutzbehörden weicht der deutsche Gesetzesentwurf insofern von den europäischen Vorgaben ab. Nach § 40 Abs. 1 Bundesdatenschutzgesetz i. V. m. dem jeweiligen Landesdatenschutzgesetz seien die Landesdatenschutzbehörden verantwortlich. Dies führt laut der Stellungnahme (abrufbar hier) zu einer Aufspaltung der Aufsicht und einer „Zuständigkeitszersplitterung“. Eine Befugnis, eine hiervon abweichende Regelung zu schaffen, ergebe sich aufgrund des abschließenden Charakters der Norm nicht.
Im Übrigen solle auch vermieden werden, dass für Adressaten des Data Acts bei Anwendung der DSGVO die Zuständigkeit auseinanderfa
lle und verschiedene Aufsichtsbehörden angerufen werden müssten. Zudem ergebe sich ein Widerspruch durch § 3 Abs. 6 DADG-E laut dem die Prüfung und Bewertung der Verarbeitung personenbezogener Daten durch die BfDI Bestandteil der verfahrensabschließenden Entscheidung der BNetzA sein soll und nur gemeinsam mit dieser Entscheidung angefochten werden kann. Art. 37 Abs. 3 S. 2 Data Act verweist nämlich insofern auf Art. 57 Abs. 1 lit. f DSGVO, der Datenschutzbehörden die Aufgabe, Verwaltungsakte über Beschwerdeprüfungen zu erlassen, überträgt. Deshalb könne dies nicht an die BNetzA übergeben werden.
Verstoß gegen Verfassungsrecht
Außerdem weist die Stellungnahme auf einen Verstoß „gegen die verfassungsrechtliche Verteilung der Verwaltungskompetenzen“ hin. Der DADG-E stützt sich in seiner Begründung auf Seite 19 auf die Gesetzgebungskompetenz des Bundes für das “Recht der Wirtschaft” nach Art. 74 Nr. 11 Grundgesetz (GG). Doch vernetzte Produkte würden nicht nur in der Wirtschaft, sondern auch in Bildung, Forschung, Medizin, Medien und Verwaltung genutzt. Viele dieser Bereiche fielen unter die Gesetzgebungskompetenz der Länder. Zudem würde die geplante Aufsicht der BfDI über Landesbehörden „grundlegenden föderalen Ordnungsprinzipien“ widersprechen. Besonders problematisch sei, dass Bundesbehörden dann darüber entscheiden würden, ob Landesbehörden im Rahmen des Data Acts Daten erhalten oder weitergeben dürfen.
Gefahr von Doppelstrukturen
Zuletzt schaffe die Regelung auch keine klare und praktikable Aufsichtsstruktur. Statt einer Vereinfachung für Unternehmen und staatliche Stellen führe sie zu Überschneidungen und Doppelstrukturen zwischen der Bundes- und Landesaufsicht, da eine exakte Abgrenzung zwischen dem Data Act und allgemeinen Datenschutzfragen kaum möglich sei. Dies könne dazu führen, dass Unternehmen und Behörden mit zwei parallelen Aufsichtsverfahren konfrontiert werden. Zudem würden die Landesdatenschutzbehörden über langjährige Erfahrung und regionale Expertise verfügen, die für eine praxisnahe Beratung unverzichtbar sei. Im Übrigen könnten sich Adressaten des Data Acts bei Fragen auch nicht mehr an ihre regionalen Behörden wenden, sondern müssten Anfragen bei den Bundesbehörden in Bonn einreichen sowie Rechtsstreitigkeiten beim VG Köln statt über regionale Verwaltungsgerichte klären. Konkret weist in diesem Zusammenhang Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit, in einer Pressemitteilung auf die „bürokratischen Folgen für Unternehmen, Behörden und die Betroffenen“ hin, die insbesondere mehr Rechtsunsicherheit bedeuten.
Fazit
Laut der Kritik der Landesdatenschutzbehörden an der Aufsichtsstruktur für den Data Act missachte der aktuelle Entwurf sowohl unionsrechtliche als auch verfassungsrechtliche Vorgaben sowie allgemeine digitalpolitische Gegebenheiten. Insbesondere drohe eine Kompetenzverschiebung zugunsten des Bundes, die das föderale Prinzip des Grundgesetzes verletze. Eine Nachbesserung des Entwurfs sei dringend erforderlich, um sowohl europarechtliche als auch verfassungsrechtliche Vorgaben einzuhalten und eine praktikable und rechtssichere Umsetzung des Data Act zu gewährleisten.
