Neue Zuständigkeit: BfDI übernimmt Datenschutzaufsicht nach dem Data Act

Mit dem Inkrafttreten des Datenverordnung-Anwendungs-und-Durchsetzungsgesetzes (DADG) am 30. Mai 2026 ist nun auch in Deutschland der nationale Durchsetzungsrahmen für den europäischen Data Act geschaffen. Damit werden Zuständigkeiten, Verfahrensfragen und Bußgeldvorschriften konkret geregelt.

Für Unternehmen ist dies ein wichtiger Meilenstein: Die materiellen Pflichten aus dem Data Act gelten zwar bereits seit dem 12. September 2025. Mit dem DADG stehen nun jedoch auch die nationalen Aufsichts- und Durchsetzungsmechanismen fest.

Data Act: Mehr Zugang zu Daten aus vernetzten Produkten

Der Data Act (Verordnung (EU) 2023/2854) regelt den Zugang zu und die Nutzung von Daten aus vernetzten Produkten und verbundenen digitalen Diensten. Ziel ist es, Datennutzung transparenter, fairer und wettbewerbsfreundlicher zu gestalten.

Betroffen sind insbesondere Hersteller vernetzter Produkte sowie Anbieter verbundener Dienste, etwa im Bereich Smart Home, Smart Mobility, Maschinenbau, Industrie 4.0 oder IoT-Anwendungen. Nutzerinnen und Nutzer sollen unter bestimmten Voraussetzungen Zugriff auf die durch die Nutzung erzeugten Daten erhalten und diese auch an Dritte weitergeben können.

BNetzA als zentrale Durchsetzungsbehörde

Das DADG weist der Bundesnetzagentur (BNetzA) eine zentrale Rolle zu. Sie ist grundsätzlich die zuständige Behörde für die Anwendung und Durchsetzung des Data Act in Deutschland und zugleich zentrale Anlaufstelle für Bürgerinnen und Bürger, Unternehmen sowie öffentliche Stellen.

Damit hat sich der Gesetzgeber für ein zentralisiertes Aufsichtsmodell entschieden. Im Gesetzgebungsverfahren war zuvor diskutiert worden, ob auch die Datenschutzaufsichtsbehörden der Länder eine weitergehende Rolle bei der Aufsicht über privatwirtschaftliche Stellen erhalten sollten.

BfDI übernimmt Datenschutzaufsicht für nicht-öffentliche Stellen

Eine zentrale Neuerung betrifft die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI). Sie ist nach dem DADG für die Überwachung der Anwendung des Data Act zuständig, soweit es um den Schutz personenbezogener Daten bei nicht-öffentlichen Stellen geht.

Damit wird die BfDI zur maßgeblichen Datenschutzaufsichtsbehörde für Unternehmen, wenn im Rahmen des Data Act personenbezogene Daten betroffen sind. Die BNetzA bleibt daneben die zentrale Behörde für die allgemeine Durchsetzung des Data Act.

Für öffentliche Stellen bleibt es dagegen bei der bisherigen Aufsichtsstruktur. Hier sind weiterhin die jeweiligen Datenschutzaufsichtsbehörden des Bundes oder der Länder zuständig, abhängig davon, um welche öffentliche Stelle es sich handelt.

Zusammenspiel von Data Act und DSGVO bleibt zentrale Herausforderung

Die neue Zuständigkeit der BfDI zeigt, dass der Data Act nicht isoliert betrachtet werden kann. Viele Daten aus vernetzten Produkten können personenbezogene Daten sein. In diesen Fällen gelten Data Act und DSGVO parallel.

Für Unternehmen stellen sich daher insbesondere folgende Fragen:

  • Wann liegt bei Geräte- oder Nutzungsdaten ein Personenbezug vor?
  • Wer ist datenschutzrechtlich Verantwortlicher?
  • Welche Rechtsgrundlage trägt die Verarbeitung oder Weitergabe personenbezogener Daten?
  • Wie lassen sich Zugangsrechte aus dem Data Act mit Transparenz-, Zweckbindungs- und Sicherheitsanforderungen der DSGVO vereinbaren?

Diese Fragen waren bereits Gegenstand der zweiten Denkwerkstatt der BfDI zum Data Act am 5. Februar 2026. Dort diskutierte die Behörde mit Vertreterinnen und Vertretern aus Unternehmen, Verbänden und Zivilgesellschaft insbesondere Fallkonstellationen zum Personenbezug, zur Verantwortlichkeit von IoT-Herstellern und zu möglichen Rechtsgrundlagen.

Die BfDI kündigte an, die Ergebnisse dieser Diskussionen gemeinsam mit der Bundesnetzagentur weiter aufzugreifen und sich auch in den einschlägigen Gremien für mehr Rechtsklarheit einzusetzen.

Bußgelder und Verfahren: DADG erhöht den Handlungsdruck

Das DADG regelt nicht nur Zuständigkeiten, sondern auch Befugnisse, Beschwerdeverfahren und Bußgeldvorschriften. Besonders relevant ist § 15 DADG, der den Bußgeldrahmen festlegt.

Je nach Art des Verstoßes und Größe des Unternehmens können erhebliche Geldbußen drohen. Bei juristischen Personen mit einem weltweiten Jahresumsatz von mehr als 250 Millionen Euro können Bußgelder bis zu zwei Prozent des weltweit erzielten Gesamtumsatzes betragen.

Damit steigt der praktische Handlungsdruck erheblich. Unternehmen müssen nun nicht mehr nur mit abstrakten Pflichten rechnen, sondern auch mit konkreten Verfahren, Kontrollen, Beanstandungen und Sanktionen.

Was Unternehmen jetzt prüfen sollten

Unternehmen, die vernetzte Produkte herstellen oder verbundene Dienste anbieten, sollten ihre Data-Act-Compliance eng mit der Datenschutz-Compliance verzahnen.

Prüfungsbedarf besteht insbesondere bei:

  • Dateninventaren für vernetzte Produkte und Dienste,
  • Einordnung personenbezogener und nicht-personenbezogener Daten,
  • technischen Zugriffsmöglichkeiten für Nutzerinnen und Nutzer,
  • Prozessen zur Datenweitergabe an Dritte,
  • vertraglichen Regelungen zur Datennutzung,
  • datenschutzrechtlichen Rechtsgrundlagen,
  • Transparenzinformationen und Betroffenenrechten,
  • internen Zuständigkeiten zwischen Legal, Datenschutz, IT und Produktentwicklung.

Fazit

Mit dem DADG ist der deutsche Durchsetzungsrahmen für den Data Act geschaffen. Die BNetzA übernimmt die zentrale Rolle bei Anwendung und Durchsetzung, während die BfDI die Datenschutzaufsicht für nicht-öffentliche Stellen übernimmt, soweit personenbezogene Daten betroffen sind.

Für Unternehmen bedeutet dies: Data-Act-Compliance und DSGVO-Compliance müssen gemeinsam gedacht werden. Gerade bei vernetzten Produkten, IoT-Geräten und datenbasierten Diensten wird die rechtssichere Gestaltung von Datenzugang, Datennutzung und Datenweitergabe zu einer zentralen Compliance-Aufgabe.

Wer bislang noch keine Umsetzungsschritte eingeleitet hat, sollte spätestens jetzt prüfen, welche Daten unter den Data Act fallen, welche datenschutzrechtlichen Anforderungen zusätzlich gelten und welche technischen, organisatorischen und vertraglichen Anpassungen erforderlich sind.

Bereit, den EU Data Act zu bewältigen und Ihre Daten-Compliance zu optimieren?

Die neuen Anforderungen des EU Data Act sind in Kraft. Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenzugangs- und Nutzungsrechtes sowie der Datenschutz-Compliance unterstützen können. 

Lassen Sie uns unverbindlich sprechen
Data Act

Das könnte Sie auch interessieren..

Meist gelesen

Das Bußgeld gegen Yango wegen Drittlandtransfers nach Russland verdeutlicht die hohen Anforderungen an internationale Datenübermittlungen.
100 Millionen Euro Bußgeld gegen Yango
Der EDSA hat eine neue Vorlage für eine Datenschutz-Folgenabschätzung (DSFA) sowie eine umfangreiche Anleitung hierzu veröffentlicht.
EDSA: Neue Vorlage für Datenschutz-Folgenabschätzungen
Sprachbot entlastet Feuerwehr: KI übernimmt 120.000 Krankentransporte
Sprachbot entlastet Feuerwehr: KI übernimmt 120.000 Krankentransporte 
Compliance‑Fristen Sommer 2026