Data Act trifft Datenschutz: BfDI übernimmt neue Aufsichtsfunktion
08.06.2026
Zusammenfassung
Mit dem Inkrafttreten des DADG am 30. Mai 2026 steht das nationale Durchführungsgerüst für den EU Data Act. Die BfDI übernimmt die Datenschutzaufsicht für Wirtschaft und Bundesbehörden, soweit personenbezogene Daten betroffen sind. Für Unternehmen, die vernetzte Produkte herstellen oder digitale Dienste anbieten, gilt: Data Act und DS-GVO finden parallel Anwendung. Eine klare Zweckbestimmung, Transparenz gegenüber Nutzenden und die Beachtung beider Rechtsrahmen sind jetzt unerlässlich.
5 Minuten Lesezeit
Am 30. Mai 2026 ist das Datenverordnungs-Anwendungs-und-Durchsetzungs-Gesetz (DADG) in Kraft getreten. Wie die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) in ihrer aktuellen Pressemitteilung bekanntgegeben hat, schafft das Gesetz das nationale Durchführungsgerüst für den EU Data Act (Verordnung (EU) 2023/2854) – und verteilt die Aufsichtszuständigkeiten in Deutschland nun verbindlich. Die Verordnung selbst gilt zwar bereits seit dem 12. September 2025 unmittelbar in allen Mitgliedstaaten; mit dem DADG ist jedoch ein entscheidender Baustein für die praktische Durchsetzung in Deutschland hinzugekommen.
Was regelt der Data Act?
Der Data Act zielt darauf ab, den Zugang zu und die Nutzung von Daten in vernetzten Geräten und digitalen Diensten zu erleichtern. Transparenz, fairer Wettbewerb und eine gerechtere Verteilung von Datennutzen im digitalen Binnenmarkt stehen im Mittelpunkt. Konkret verpflichtet die Verordnung Hersteller vernetzter Produkte und Anbieter verbundener Dienste, Nutzenden Zugang zu den im Zuge der Nutzung generierten Daten zu gewähren – auf Verlangen auch gegenüber Dritten.
Neue Zuständigkeiten: Bundesnetzagentur und BfDI
Das DADG verteilt die Aufsicht nun auf zwei Behörden. Einerseits ist die Bundesnetzagentur (BNetzA) als zuständige Behörde für die allgemeine Anwendung und Durchsetzung des Data Act verantwortlich. Sie fungiert zugleich als zentrale Anlaufstelle für Bürgerinnen und Bürger, Unternehmen und öffentliche Stellen.
Andererseits ergänzt die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) diese Struktur als spezialisierte Datenschutzaufsicht. Ihre Zuständigkeit greift überall dort, wo der Data Act auf personenbezogene Daten trifft – also gegenüber der Wirtschaft sowie öffentlichen Stellen des Bundes. Beide Behörden sollen fortan eng und partnerschaftlich zusammenarbeiten.
Data Act und DS-GVO: Parallele Anwendbarkeit
Eine zentrale Herausforderung für die Praxis ist das Zusammenspiel von Data Act und Datenschutz-Grundverordnung (DS-GVO). Soweit die im Rahmen der Nutzung vernetzter Produkte oder Dienste erzeugten Daten einen Personenbezug aufweisen, finden beide Regelwerke gleichzeitig Anwendung. Unternehmen müssen daher sicherstellen, dass ihre Datenzugangs- und Weitergabepraktiken sowohl den Anforderungen des Data Act als auch der DS-GVO gerecht werden.
Die BfDI Prof. Dr. Louisa Specht-Riemenschneider benennt die entscheidende Schwachstelle: „Was Innovation allerdings erschwert, ist Rechtsunsicherheit darüber, wie der Data Act und die Datenschutz-Grundverordnung im konkreten Fall zusammenwirken.“ Die Behörde hat angekündigt, praxisrelevante Orientierungshilfen zu veröffentlichen – sowohl für Unternehmen als auch für betroffene Personen.
Was bedeutet das konkret für Unternehmen?
Betroffen sind vor allem Hersteller vernetzter Produkte – etwa im Bereich IoT, Smart Home oder vernetzte Fahrzeuge – sowie Anbieter verbundener digitaler Dienste. Für diese gilt:
- Datenzugang: Nutzende haben Anspruch auf Zugang zu den durch ihre Nutzung erzeugten Daten, auf Verlangen auch zur Weitergabe an Dritte.
- Doppelte Compliance: Handelt es sich um personenbezogene Daten, sind neben dem Data Act auch die Vorgaben der DS-GVO vollumfänglich einzuhalten – insbesondere hinsichtlich Rechtsgrundlage, Zweckbindung und Betroffenenrechten.
- Transparenz: Betroffene Personen sind stets über Art, Umfang und Zweck der Datennutzung zu informieren.
- Rechtssicherheit: Die angekündigten Orientierungshilfen von BfDI und BNetzA sollten aktiv verfolgt und in bestehende Compliance-Strukturen eingearbeitet werden.
Fazit
Der Data Act in Verbindung mit dem neuen nationalen Durchführungsrahmen stellt Unternehmen vor konkrete rechtliche Anforderungen. Wer vernetzte Produkte oder verbundene Dienste anbietet und dabei personenbezogene Daten verarbeitet, muss künftig beide Rechtsrahmen im Blick behalten. Eine frühzeitige Auseinandersetzung mit den Vorgaben – und die Einbindung eines erfahrenen Datenschutzbeauftragten – ist empfehlenswert, um Rechtssicherheit zu schaffen und das Vertrauen der Nutzenden zu erhalten.
