WrightStudio - stock.adobe.com
Datenpannen und Data Act: Wann die Aufsicht ins Spiel kommt
Wirtschaftsverbände beklagen eine Rechtsunsicherheit bei der Umsetzung des Data Acts. Durch die Verzahnung mit dem Datenschutz drohen Datenpannen nach Datenschutz-Grundverordnung.
Bereits seit 12. September 2025 ist der europäische Data Act in Kraft. Der Verband der Internetwirtschaft eco warnt (PDF) deshalb: „Während die EU bereits voranschreitet, droht Deutschland ins Hintertreffen zu geraten, was die bestehenden Unsicherheiten in der Internetwirtschaft zusätzlich verschärft. Die nationale Umsetzung steht weiterhin aus“. eco – Verband der Internetwirtschaft fordert daher von der Bundesregierung, jetzt schnell und entschlossen zu handeln, um Rechtssicherheit für Unternehmen zu schaffen und die Chancen des Data Acts nicht zu verspielen.
„Der Data Act hat das Potential, Europas Datenwirtschaft innovativer und wettbewerbsfähiger zu machen – vorausgesetzt, Deutschland handelt zügig und setzt auf eine harmonisierte, europäische Umsetzung mit klaren, effizienten Regeln“, sagte eco-Vorstandsvorsitzender Oliver Süme. „Wichtig sind klare Zuständigkeiten, Augenmaß bei Sanktionen sowie eine enge Verzahnung mit bestehenden Rechtsakten wie der DSGVO, dem Data Governance Act und künftig auch dem AI Act.“
Der Digitalverband Bitkom sieht dies ähnlich und erklärte: „Auch wegen vieler neuer und ungeklärter Rechtsbegriffe und fehlenden Ansprechpartnern in der Verwaltung hatte in einer Bitkom-Studie im Frühjahr erst jedes hundertste Unternehmen (ein Prozent) den Data Act vollständig umgesetzt, gerade einmal weitere vier Prozent immerhin teilweise.“
„Wer in Europa Gesetze beschließt, muss auch für ihre Umsetzung sorgen. Dazu gehört, die Betroffenen ausreichend zu informieren und zu unterstützen“, sagte Bitkom-Präsident Dr. Ralf Wintergerst.
Informationen zum Data Act gibt es insbesondere von den Datenschutzaufsichtsbehörden, aus gutem Grund.
Datenschutzaufsicht auch beim Data Act
Der Data Act sieht vor, dass für seine Überwachung in Bezug auf die Verarbeitung personenbezogenen Daten die Datenschutzaufsichtsbehörden zuständig sind, wie der Landesbeauftragte für den Datenschutz Niedersachsen erläutert. Die Zuständigkeiten zwischen den Landesdatenschutzbeauftragten und der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit folgen in Deutschland demnach der bekannten Verteilung nach dem Bundesdatenschutzgesetz.
Persönliche Daten der Nutzerinnen und Nutzer wie aufgezeichnetes Fahrverhalten bei vernetzten Fahrzeugen oder der Fitnesszustand von Smartwatches werden weiterhin vorrangig durch die Datenschutz-Grundverordnung geschützt, so die Aufsichtsbehörde. Ihre Weitergabe erfordert daher ergänzend zu den Vorschriften des Data Act eine Rechtsgrundlage nach der DSGVO.
Das bedeutet insbesondere auch, dass Unternehmen ab sofort überprüfen sollten, ob ihre Datenbestände in den Anwendungsbereich des Data Act und bei einem Personenbezug gleichzeitig in den Anwendungsbereich der DSGVO fallen. Informationen und Vertragstexte, wie etwa Nutzungsbedingungen, sollten gegebenenfalls angepasst werden, so der Hinweis der Aufsicht aus Niedersachsen.
Bei Verstößen ist (auch) die Datenschutzaufsicht zuständig
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) unterstreicht die Bedeutung des Datenschutzes: Anbieter müssen den Nutzerinnen und Nutzern auf Anforderung Produktdaten und verbundene Dienstdaten bereitstellen. Das ULD, das für Beschwerden bei vermuteten Datenschutzverstößen zuständig ist, wird nun ebenfalls zuständig für Beschwerden, die mit der Verarbeitung personenbezogener Daten und den Rechten nach dem Data Act zusammenhängen.
Sollten Personen also der Ansicht sein, dass Unternehmen in Schleswig-Holstein ihre Rechte nach dem Data Act in Bezug auf die Verarbeitung personenbezogener Daten verletzen, haben diese die Möglichkeit, beim ULD eine Beschwerde einzureichen. Das ULD prüft dann den vorgetragenen Sachverhalt und wirkt im Falle einer Verletzung mit den bestehenden Befugnissen auf die Einhaltung der Vorgaben des Data Act hin.
Thomas Fuchs, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, macht klar: „Datenzugang und Datenschutz sind kein Widerspruch. Wir werden uns im Rahmen des Data Acts dafür einsetzen, dass Datenmonopole aufgebrochen werden und zugleich Privatsphäreinteressen gewahrt bleiben. Für die Unternehmen in Hamburg ist es gut, dass die für sie zuständige Datenschutzaufsichtsbehörde auch nach gleichen Maßstäben die Datenschutzfragen im Rahmen des Data Acts klärt.“
Datenschutzbehörden sind Data-Act-Aufsicht bei Personenbezug
Handelt es sich bei den zu übermittelten Daten um personenbezogene, setzt das Europarecht also die Datenschutzbehörden als Aufsicht für die Einhaltung der Bestimmungen des Data Acts ein (Artikel 37 Abs. 3 Data Act).
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) wird deshalb Anspruchsberechtigte bei der Geltendmachung ihrer Rechte unterstützen, soweit sie personenbezogene Daten betreffen (PDF). Darunter fallen insbesondere Zugang zu personenbezogenen Daten beim Hersteller, Wechsel des Anbieters von Datenverarbeitungsdiensten (sogenanntes Cloud-Switching), Schutz der Vertraulichkeit durch technisch-organisatorische Maßnahmen bei der empfangenden Stelle und Transparenzpflichten.
Auch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) bezieht entsprechend Stellung (PDF): Das BayLDA ist nun dafür zuständig, unter anderem Zugangsansprüche nach dem Data Act durchzusetzen, sofern personenbezogene Daten betroffen sind. Hierfür stehen auch die Befugnisse der DSGVO, wie beispielsweise der Erlass von Anordnungen oder Verwarnungen aber auch Ermittlungsbefugnisse zur Verfügung, die entsprechend angewandt werden müssen.
Für den Vollzug des neuen Rechtsaktes in Bezug auf nichtpersonenbezogene Daten muss aber noch eine zuständige Behörde durch die Regierung benannt werden. Hier besteht also Handlungsbedarf, wie von den Wirtschaftsverbänden angemahnt.
