Seit dem 12. September 2025 gelten die Kernpflichten des EU Data Act in Europa unmittelbar, da es sich bei dem Data Act um eine Verordnung handelt. Es stellt sich in Deutschland dennoch die Fragen: Wer setzt diese Pflichten in Deutschland eigentlich durch und mit welchen Mitteln? Dies hat der Bundestag am 26.03.2026 mit dem Beschluss des Datenverordnungs-Anwendungs- und Durchsetzungsgesetz (DADG) beantwortet, welches noch nicht Inkrafttreten ist. Das Gesetz regelt keine neuen Datenpflichten, sondern nur die Frage, welche Behörde zuständig ist, wie Verfahren ablaufen und welche Bußgelder drohen. Dieser Beitrag ordnet diesen Beschluss kurz ein.
Was regelt das DADG?
Wenn Sie mit vernetzten Produkten, Cloud-Diensten oder Industriedaten arbeiten, kennen Sie die Pflichten aus dem Data Act vermutlich bereits: Datenzugangsrechte für Nutzerinnen und Nutzer, Bereitstellungspflichten gegenüber Dritten, Regeln für den Cloud-Wechsel. All das ergibt sich direkt aus der EU-Verordnung, dazu haben wir in unseren früheren Beiträgen zum Anwendungsbereich und zu den drei Dimensionen des Data Act ausführlich Stellung genommen.
Laut Art. 37 des Data Acts werden die Mitgliedsstaaten der EU dazu verpflichtet zuständige Behörden zu benennen und nationale Sanktionsvorschriften zu verlangen. Damit werden jedoch Fragen wie beispielsweise „Welche Stelle nimmt Beschwerden entgegen? Wer führt Ermittlungen? Welche Sanktionen greifen bei Verstößen?“ offen. Diese Lücke schließt das DADG. Es begründet keine neuen Datenzugangsrechte und keine neuen Bereitstellungspflichten. Es regelt ausschließlich das „Wie“ der Durchsetzung, betreffend Zuständigkeiten, Verfahren und Rechtsfolgen.
Die Bundesnetzagentur als Zentralstelle
Die Bundesnetzagentur (BNetzA) wird zur zentralen Anlaufstelle. Sie bearbeitet Beschwerden, führt Ermittlungen, erlässt Anordnungen und verhängt Bußgelder. Einen separaten Datenkoordinator, wie ihn Art. 37 Abs. 2 Data Act bei mehreren zuständigen Behörden vorsieht, gibt es bei nur einer Behörde nicht.
Die Bundesnetzagentur hat bereits Erfahrung bei der Regulierung netzwerkbasierter Märkte, da sie bereits Kompetenzen als zentrale Koordinatorin für Digitale Dienste darüber wacht, dass Online-Dienste die neuen Regeln des Digital Services Act (DSA) einhalten. In der Rolle als Digital Services Coordinator (DSC) kann die BNetzA bei systematischen Verstößen Zwangs- und Bußgelder verhängen.
Für datenschutzrechtliche Fragen im Data-Act-Kontext ist die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) zuständig (§ 3 Abs. 1 DADG).
Das Durchsetzungsinstrumentarium: Ermittlung, Anordnung, Zwangsgeld:
Die §§ 7 bis 12 DADG statten die BNetzA mit einem abgestuften Instrumentarium aus: Ermittlung, Abhilfeverlangen mit Fristsetzung, dann erst Anordnung mit Zwangsgeld (bis zu 500.000 Euro). Die BNetzA hat öffentlich signalisiert, dass sie zunächst auf Beratung und Dialog setzt, nicht auf sofortige Sanktionierung.
Dieser gestufte Ansatz entspricht dem Grundsatz der Verhältnismäßigkeit und gibt Unternehmen die Möglichkeit, Verstöße eigenständig zu beheben, bevor die Behörde hoheitlich eingreift.
Das sollte Sie aber nicht in Sicherheit wiegen. Die materiellen Pflichten des Data Act gelten seit September 2025. Und das Instrumentarium zur Durchsetzung steht jetzt bereit. Wer seine Data-Act-Compliance bislang aufgeschoben hat, sollte spätestens jetzt handeln.
Die Bußgeldstruktur: Vier Stufen, reduzierter Katalog
Das DADG sieht Bußgelder zu Sanktionierung eines vergangenen Verstoßes vor. Die Höhe lässt sich in vier Ebenen aufteilen:
An der Spitze stehen Bußgelder von bis zu 5 Mio. Euro oder alternativ 2 % des weltweiten Gesamtumsatzes bei Unternehmen mit mehr als 250 Mio. Euro Umsatz. Diese Stufe ist ausschließlich dem Gatekeeper-Verbot nach Art. 5 Abs. 3 Data Act vorbehalten: Gatekeeper dürfen Nutzer weder auffordern noch durch Anreize veranlassen, Daten an den Datenempfänger weiterzugeben.
Die zweite Stufe erfasst mit bis zu 500.000 Euro die Kernpflichten des Data Act, insbesondere die Bereitstellungspflichten gegenüber Nutzern und Dritten sowie die Designpflicht für vernetzte Produkte.
Auf der dritten Stufe (bis zu 100.000 Euro) finden sich unter anderem Verstöße gegen Anordnungen der BNetzA, Pflichten beim Cloud-Wechsel und das Verbot der Datennutzung für Profiling.
Die vierte Stufe (bis zu 50.000 Euro) betrifft überwiegend Mitteilungs- und Nachweispflichten.