Die Aufsicht über den Data Act in Deutschland – Ein europarechtliches Dilemma?

Das Bundesministerium für Wirtschaft und Klimaschutz (BMWK) sowie das Bundesministerium für Digitales und Verkehr (BMDV) haben am 05.02.2025 einen gemeinsamen Referentenentwurf zur Durchführung des EU Data Acts (Verordnung (EU) 2023/2854) veröffentlicht. Der Data Act zielt darauf ab, den Zugang zu und die Nutzung von Daten fair und effizient zu gestalten.

Als Verordnung gilt der Data Act ab dem 12.09.2025 unmittelbar in den Mitgliedstaaten. Um die Verpflichtungen aber vollständig und bundeseinheitlich zu erfüllen, sind zusätzliche nationale Durchführungsbestimmungen erforderlich.

Der Referentenentwurf enthält Regelungen zum Verwaltungsverfahren und zum Bußgeldrahmen bei Verstößen gegen den Data Act. Die Bundesnetzagentur (BNetzA) wird als zentrale Aufsichtsbehörde für die Anwendung und Durchsetzung des Data Acts benannt. Neben der BNetzA erhält aber auch die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) eine zentrale Rolle, da bei ihr die Zuständigkeit für die Überwachung der Anwendung der DSGVO im Rahmen des Data Acts liegen soll.

Die Rolle der BfDI im Data Act-Durchführungsgesetz

Diese neue Zuständigkeit der BfDI betrifft vor allem den Schutz personenbezogener Daten im Rahmen der neuen Zugangs- und Weitergabepflichten. Die BfDI soll in dieser Funktion mit der BNetzA kooperieren. „Die Prüfung und Bewertung der Verarbeitung personenbezogener Daten der BfDI ist Bestandteil der verfahrensabschließenden Entscheidung der Bundesnetzagentur und kann nur gemeinsam mit dieser Entscheidung angefochten werden“, heißt es in § 3 Abs. 6 RefE DA-DG. Dies bedeutet aber auch, dass die Datenschutzaufsichtsbehörden der Länder keine Zuständigkeit haben sollen.

Dieser Zuständigkeitszuschnitt ist aus praktischer Sicht nachvollziehbar, da die BfDI bereits über umfassende Erfahrung in der Überwachung der DSGVO verfügt, es ist jedoch fraglich, ob eine solche alleinige Zuständigkeit im Einklang mit den europarechtlichen Vorgaben des Data Acts steht.

Europarechtliche Rahmenbedingungen der Aufsicht

Der Referentenentwurf sieht die Grundlage für die Benennung der BfDI in Art. 74 Abs. 1 Nr. 11 GG i. V. m. Art. 87 Abs. 3 S. 1 GG. Durch die Zuständigkeit nur einer zentralen Behörde sollen Beschwerdeverfahren verkürzt und aufwändige Abstimmungsprozesse vermieden werden, was bei 18 Datenschutzaufsichtsbehörden mit unterschiedlichen Auffassungen wohl nicht der Fall wäre und uns allen leidlich, nicht erst seit Einführung der DSGVO, bekannt ist.

Dagegen bestimmt Art. 37 Abs. 3 Data Act, dass die für die Überwachung der Anwendung der DSGVO zuständigen Aufsichtsbehörden bezüglich des Schutzes personenbezogener Daten auch für die Überwachung der Anwendung des Data Acts zuständig sind, und Art. 40 Abs. 4 Data Act regelt dies ähnlich für Sanktionen.

Die BfDI hat nur für einen kleinen Bereich der DSGVO eine eigene Zuständigkeit. Hauptsächlich liegt diese für den nicht-öffentlichen Bereich bei den Landesdatenschutzbehörden. Die Begründung des Referentenentwurfs meint, dass der nationale Gesetzgeber die Zuständigkeit anderweitig als in Bezug auf die DSGVO regeln kann.

Die zentrale Frage ist daher, ob eine nationale Regelung, welche die Aufsicht über den Data Act im Bereich des Datenschutzes ausschließlich der BfDI zuweist, mit Art. 37 Abs. 3 und 40 Abs. 4 Data Act vereinbar ist.

Abweichung vom Mehrebenensystem im deutschen Datenschutz

Das deutsche Datenschutzaufsichtssystem unterscheidet traditionell zwischen Bundes- und Landesbehörden. Während die BfDI für die Kontrolle öffentlicher Stellen des Bundes und bestimmter privater Akteure zuständig ist, obliegt die allgemeine Datenschutzaufsicht in der Privatwirtschaft den Datenschutzbehörden der Länder.

Sollte die BfDI nun als alleinige Aufsichtsbehörde für den Data Act fungieren und noch dazu nur als Teil der Entscheidung der BNetzA, würde dies eine erhebliche Kompetenzverschiebung im deutschen Datenschutzrecht bedeuten. Die Landesdatenschutzbehörden wären damit von der Aufsicht über die datenschutzrechtlichen Regelungen des Data Acts ausgeschlossen.

Ein weiteres Problem ergibt sich aus der möglichen Doppelregulierung: Unternehmen, die sowohl unter die DSGVO als auch unter den Data Act fallen, könnten mit widersprüchlichen Vorgaben von BfDI und Landesbehörden konfrontiert werden.

Wie geht es weiter?

Durch die Bundestagswahl ist fraglich, ob der aktuelle Entwurf seinen Weg ins, dann neue, Parlament finden oder ob die neue Regierung eigene Vorschläge entwickeln wird. Wird an der zentralen Zuständigkeit von BNetzA und BfDI festgehalten, besteht aus unserer Sicht das Risiko eines Vertragsverletzungsverfahrens wegen mangelhafter Umsetzung des Data Acts. Übrigens: Mit Verweis auf Art. 74 Abs. 1 Nr. 11 GG könnte der Bund auch die Zuständigkeit der BfDI in Bezug auf die DSGVO begründen. Die Landesdatenschutzbehörden wären dann nur noch für den länderspezifischen öffentlichen Bereich zuständig.

Eines steht jedoch fest: Spätestens am 12.09.2025 müssen die Durchführungsvorschriften in Kraft treten.

RA Stephan Schmidt und Dipl.-Wirtschaftsjurist Martin Rätze, Mainz