Daten sind längst ein zentraler Wertschöpfungsfaktor. Mit dem Data Act (Verordnung (EU) 2023/2854)[1] und dem Data Governance Act (Verordnung (EU) 2022/868)[2] werden deshalb neue Spielregeln für Zugriff, Nutzung und Weitergabe von Daten geschaffen, die nun auch in Deutschland konkret durchgesetzt werden. Für Unternehmen stellt sich damit nicht mehr nur die Frage, was die neuen Vorgaben rechtlich bedeuten, sondern vor allem, wie sie sich praktisch und organisatorisch umsetzen lassen.
Konkret ist die deutsche Umsetzung vor allem deshalb relevant, weil aus unmittelbar geltenden EU-Regeln nun ein klarer nationaler Vollzugsrahmen mit benannten Behörden, Verfahren und Bußgeldern wird.[3] Für betroffene Personen und Unternehmen bedeutet das mehr Klarheit darüber, an wen sie sich bei Beschwerden, Datenzugangsfragen und Aufsichtsverfahren wenden können – aber auch ein realeres Sanktionsrisiko bei Verstößen.[4]
Worum geht es?
Der Data Act gilt in wesentlichen Teilen bereits seit dem 12. September 2025 und regelt insbesondere, wer unter welchen Bedingungen Produktdaten oder verbundene Dienstdaten nutzen und weitergeben darf. Praktisch betrifft das vor allem Hersteller und Anbieter vernetzter Produkte, digitale Dienste, Dateninhaber sowie Unternehmen, die Daten aus vernetzten Geräten nutzen oder erhalten wollen.
Der Data Governance Act gilt bereits seit dem 24. September 2023 und soll die Weiterverwendung bestimmter geschützter Daten des öffentlichen Sektors, Datenvermittlungsdienste und datenaltruistische Organisationen rechtlich absichern. Für viele Unternehmen steht dabei weniger das klassische Tagesgeschäft im Vordergrund als vielmehr neue datengetriebene Kooperations- und Geschäftsmodelle, etwa in Datenräumen, Forschungskooperationen oder sektorübergreifenden Datennutzungen.
Am 26. März 2026 verabschiedete der Bundestag die Durchführungsgesetze für die beiden EU-Rechtsakte.
Was ändert sich für Unternehmen?
Die wichtigste praktische Veränderung ist, dass die deutsche Umsetzung aus europäischen Pflichten nun einen national greifbaren Durchsetzungsrahmen macht. Unternehmen müssen sich deshalb nicht mehr nur abstrakt mit den Verordnungen befassen, sondern mit konkreten Zuständigkeiten, Beschwerdewegen, Ermittlungsbefugnissen, aber auch den Bußgeldrisiken.
Im Bereich des Data Act rückt insbesondere die Frage in den Vordergrund, ob vernetzte Produkte so gestaltet sind, dass Nutzer auf die erzeugten oder aufgezeichneten Daten tatsächlich zugreifen können. Ebenfalls relevant sind Prozesse zur Weitergabe von Daten an Nutzer oder von Nutzern benannte Dritte, die Begründung von Ablehnungen sowie die organisatorische Trennung zwischen datennutzungsrechtlichen und datenschutzrechtlichen Bewertungen.
Beim Data Governance Act sollten Unternehmen prüfen, ob sie als Datenvermittlungsdienst tätig werden oder datenaltruistische Modelle verfolgen wollen, weil hierfür nun ein klareres Aufsichts- und Registrierungsregime vorgesehen ist. Für öffentliche Stellen und datengetriebene Projekte wird zudem das Statistische Bundesamt als zentrale Informationsstelle wichtiger, wenn es um die Weiterverwendung geschützter Daten der öffentlichen Hand geht.
Bedeutung für betroffene Personen
Für betroffene Personen – etwa Nutzer vernetzter Produkte – stärkt der Data Act vor allem die praktische Durchsetzbarkeit des Zugangs zu bestimmten Nutzungsdaten. Politisch wurde dies im Bundestag auch damit beschrieben, dass der Data Act Menschen ein Stück Entscheidungsmacht über erzeugte Daten zurückgeben soll. Mit Ausnahme der personenbezogenen Daten sollen an Daten im Wesentlichen gerade keine originären Rechte, wie Besitz oder Eigentum, bestehen.
Allerdings bleibt die Abgrenzung zum Datenschutz anspruchsvoll. Gerade wenn Datenzugangsansprüche nach dem Data Act und Pflichten nach der DSGVO nebeneinanderstehen, kann für Betroffene und Unternehmen unübersichtlich werden, welche Behörde zuständig ist und nach welchen Maßstäben ein Fall beurteilt wird.
Neue und geänderte Zuständigkeiten
Im Data-Act-Durchführungsgesetz bleibt die Bundesnetzagentur die zentrale Behörde für Durchführung, Aufsicht und Durchsetzung in Deutschland. Sie soll Beschwerden bearbeiten, Ablehnungen von Datenzugangsgesuchen an die EU-Kommission melden, Streitbeilegungsstellen zulassen, Ermittlungen führen, Auskünfte verlangen, vorläufige Anordnungen treffen und Zwangsgelder verhängen können.
Daneben bleibt die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit allein zuständig für die Überwachung der Anwendung des Data Act im Hinblick auf den Schutz personenbezogener Daten bei der Verarbeitung durch nicht-öffentliche Stellen. Die Landesdatenschutzbehörden bleiben zugleich für die Verarbeitung beim Datenempfänger zuständig, was das Risiko paralleler Aufsicht und unterschiedlicher Bewertungen nicht vollständig beseitigt.
Wichtig ist außerdem eine im parlamentarischen Verfahren vorgenommene Präzisierung: Die Bundesnetzagentur prüft Datenverlangen öffentlicher Stellen des Bundes nach Kapitel V des Data Act, während Datenverlangen öffentlicher Stellen der Länder bei den jeweils nach Landesrecht zuständigen Stellen verbleiben. Damit wurde die zunächst sehr weit angelegte Zentralzuständigkeit zumindest teilweise zugunsten der Länder zurückgenommen.
Für den Data Governance Act werden die Zuständigkeiten zwischen Bundesnetzagentur und Statistischem Bundesamt aufgeteilt. Die Bundesnetzagentur ist insbesondere für Anmeldung, Überwachung und Beaufsichtigung von Datenvermittlungsdiensten sowie für Registrierung und Kontrolle datenaltruistischer Organisationen zuständig, während das Statistische Bundesamt als zentrale Informationsstelle öffentliche Stellen bei der Entscheidung über die Weiterverwendung geschützter Daten unterstützt.
Welche Verstöße sind jetzt bußgeldbewehrt
Beim Data Act sieht das deutsche Durchführungsgesetz ein abgestuftes Sanktionssystem vor. Für geringfügige Verstöße gilt eine Höchstgrenze von EUR 50.000,00, für mittlere Verstöße EUR 100.000,00 und für schwere Verstöße EUR 500.000,00; überschritten werden können diese Höchstgrenzen, wenn durch den Verstoß wirtschaftliche Vorteile erzielt wurden.
Als Beispiel für einen schweren Verstoß nennt die aktuelle Darstellung, dass ein vernetztes Produkt nicht so konzipiert ist, dass die durch das Produkt generierten oder aufgezeichneten Daten für den Nutzer zugänglich sind. Ein mittlerer Verstoß kann vorliegen, wenn ein Nutzer daran gehindert wird, erhaltene Daten weiterzugeben; als geringfügig wird etwa ein Verstoß gegen Nachweispflichten bei Verweigerung der Datenweitergabe beschrieben.
Zusätzlich kann die Bundesnetzagentur nach dem verabschiedeten Entwurf Zwangsgelder bis zu EUR 500.000,00 verhängen, um Anordnungen durchzusetzen. Für Datenschutzverstöße im Zusammenhang mit personenbezogenen Daten bleibt dagegen die datenschutzrechtliche Sanktionsarchitektur maßgeblich.
Beim Data Governance Act enthält das deutsche Durchführungsgesetz ergänzende Bußgeldvorschriften für Verstöße gegen den Daten-Governance-Rechtsakt mit Bußgeldern von bis zu EUR 500.000,00 je nach Tatbestand. Im Fokus stehen dabei vor allem Pflichtverstöße in den regulierten Bereichen Datenvermittlungsdienste, datenaltruistische Organisationen und die nach dem DGA geregelte Weiterverwendung geschützter Daten des öffentlichen Sektors.
Was Unternehmen jetzt tun sollten
Unternehmen sollten das Thema vor allem als Governance-, Produkt- und Prozessfrage verstehen. Entscheidend ist, ob im Unternehmen klar geregelt ist, welche Daten aus vernetzten Produkten entstehen, wer Zugriff darauf hat, wie Datenzugangsverlangen bearbeitet werden, wie Ablehnungen dokumentiert werden und an welcher Stelle Datenschutzfragen gesondert geprüft werden.
Sinnvoll ist ein kurzer Umsetzungscheck entlang von vier Leitfragen:
Die deutsche Umsetzung macht das Datenrecht damit nicht grundlegend neu, aber deutlich verbindlicher. Für Unternehmen in Deutschland steigt vor allem der Handlungsdruck, Datenzugang, Produktgestaltung, Zuständigkeitsmanagement und Compliance nicht mehr nur europarechtlich abstrakt, sondern mit der nationalen Durchführung in Deutschland vollzugsfest zu organisieren. Es bleibt abzuwarten, ob im Zuge der Evaluierung der vielerorts kritisierten Behörden- und Aufsichtsstruktur sowie des Bußgeldrahmens in vier Jahren auch die Unschärfen und zum Teil Widersprüche in den Regelungen auf den Prüfstand kommen und Definitionen nachjustiert werden. Eine weitere (unschöne) Quintessenz der Umsetzung ist in jedem Fall, dass der Bürokratieabbau in Europa und auch in Deutschland noch in weiter Ferne liegen.
[1] https://bmds.bund.de/themen/digitale-wirtschaft/data-act.
[2] https://digital-strategy.ec.europa.eu/en/policies/data-governance-act.
[3] Deutscher Bundestag, „Bundestag verabschiedet EU-Vorgaben zum Datenzugang und zur Datennutzung“: https://www.bundestag.de/dokumente/textarchiv/2026/kw13-de-datennutzung-1156734.
[4] https://www.bundestag.de/dokumente/textarchiv/2026/kw05-pa-digitales-data-act-1136784.
Sie sehen gerade einen Platzhalterinhalt von Facebook. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Instagram. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen