Data Act-Durchführungsgesetz: Was Unternehmen jetzt umsetzen müssen

Data Act-Durchführungsgesetz
Categories:
, ,
Picture of Aristotelis Zervos

Aristotelis Zervos

Aristotelis Zervos, Editorial Director at 2B Advice, combines legal and journalistic expertise in Data protectionIT compliance and AI regulation.

Der Data Act verändert den kommerziellen Umgang mit Daten in Europa. Für Unternehmen bedeutet dies, dass der Zugang zu Daten nicht mehr nur eine vertragliche Option, sondern eine regulatorische Pflicht ist. Durch das Data Act-Durchführungsgesetz wird die Regelung auch in Deutschland konkret und tatsächlich durchgesetzt. Welche Maßnahmen Unternehmen bereits jetzt vorbereiten sollten.

Data Act-Durchführungsgesetz bereits durch Bundestag

Mit der EU-Verordnung 2023/2854 (Data Act) etabliert die Europäische Union erstmals ein umfassendes Regelwerk für den Zugang zu und die Nutzung von Daten. Im Fokus stehen dabei insbesondere Daten aus vernetzten Produkten und verbundenen Diensten. Das Ziel besteht darin, Nutzern mehr Kontrolle über ihre Daten zu geben und gleichzeitig datengetrieben Innovationen zu fördern.

Während der Data Act als Verordnung unmittelbar gilt, bedarf seine praktische Durchsetzung einer nationalen Ausgestaltung. In Deutschland übernimmt diese Funktion das Data Act-Durchführungsgesetz (DADG, BT-Drs. 21/2998). Es regelt insbesondere Zuständigkeiten, Verfahren und Sanktionen und verleiht somit dem europäischen Rechtsrahmen operative Wirkung.

Der Deutsche Bundestag hat am 26. März 2026 das Data Act-Durchführungsgesetz verabschiedet, der Bundesrat muss noch zustimmen.

Für die Pflichten zur Gestaltung vernetzter Produkte und verbundener Dienste nach dem Data Act besteht eine Übergangsfrist bis zum 12. September 2026.

Data Act: Wer Unternehmen künftig kontrolliert

Ein zentraler Baustein des DADG ist die Festlegung der zuständigen Behörden. Der Gesetzgeber hat der Bundesnetzagentur (BNetzA) eine Schlüsselrolle zugewiesen. Sie fungiert als zentrale Durchsetzungs- und Koordinierungsbehörde für die Pflichten aus dem Data Act.

Zu ihren Aufgaben gehören insbesondere die Überwachung der Einhaltung der Vorschriften, die Bearbeitung von Beschwerden und die Anordnung von Maßnahmen gegenüber Unternehmen.

Diese zentrale Zuständigkeit ist jedoch nicht abschließend. Soweit personal data betroffen sind, kommt dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) eine besondere Rolle zu. Das DADG sieht eine abgestimmte Zusammenarbeit der Behörden vor.

Für Unternehmen ergibt sich daraus eine mehrstufige Aufsichtsstruktur. Die Bundesnetzagentur fungiert dabei als primärer Ansprechpartner für Datenzugangsfragen, während datenschutzrechtliche Aspekte parallel durch die Datenschutzbehörden geprüft werden können.

Datenzugang wird durchsetzbar: Was sich konkret ändert

Mit dem DADG werden die materiellen Rechte des Data Acts in konkrete Verfahren überführt. Künftig können Datenzugangsansprüche nicht nur vertraglich, sondern auch regulatorisch durchgesetzt werden.

Die Bundesnetzagentur erhält dafür weitreichende Befugnisse. So kann sie Auskünfte verlangen, Prüfungen durchführen und gegenüber Unternehmen verbindliche Anordnungen erlassen. Damit steht ein effektives Instrumentarium zur Durchsetzung von Datenzugangsrechten zur Verfügung.

Daneben sieht der europäische Rechtsrahmen ein eigenständiges System von Streitbeilegungsstellen vor. Diese werden von der zuständigen Behörde zugelassen und ermöglichen eine außergerichtliche Klärung von Konflikten. Unternehmen müssen daher künftig zwischen behördlicher Durchsetzung und alternativer Streitbeilegung differenzieren. Durch diese doppelte Struktur sollen Datenzugangsfragen strukturierter, schneller und zugleich stärker reguliert entschieden werden.

Reading tip: Addressees of the EU Data Act - who is affected and what obligations apply?

Sanktionen: Warum der Handlungsdruck deutlich steigt

Diese verschärften Durchsetzungsmechanismen werden nicht ohne Folgen bleiben und den regulatorischen Druck auf Unternehmen erheblich erhöhen.

Für Verstöße gegen den Data Act sieht das DADG einen eigenständigen Sanktionsrahmen vor. Der Entwurf enthält differenzierte Bußgeldtatbestände mit abgestuften Höchstgrenzen, die im weiteren Gesetzgebungsverfahren teilweise nachgeschärft wurden.

Die konkrete Höhe der Sanktionen orientiert sich insbesondere an der Schwere und Dauer des Verstoßes sowie an der wirtschaftlichen Leistungsfähigkeit des Unternehmens. Hinzu kommen Zwangsgelder und behördliche Anordnungen zur Herstellung eines rechtmäßigen Zustands. Für Unternehmen entsteht damit ein erhebliches wirtschaftliches und operatives Risiko.

Auswirkungen des Data Act: Pflichtprogramm oder strategische Chance?

Diese regulatorischen Entwicklungen wirken sich unmittelbar auf datengetriebene Geschäftsmodelle aus. Besonders betroffen sind Hersteller vernetzter Produkte, Anbieter digitaler Dienste und Plattformbetreiber.

Diese Unternehmen sind künftig verpflichtet, ihren Nutzern Zugang zu bestimmten Daten zu gewähren und unter bestimmten Voraussetzungen auch Dritten den Zugriff zu ermöglichen.

Gleichzeitig müssen sie sicherstellen, dass dieser Zugang unter fairen, transparenten und nicht diskriminierenden Bedingungen erfolgt.

Damit verändert sich die Rolle von Daten grundlegend. Daten sind nicht mehr nur ein internes Asset, sondern ein regulierter Bestandteil von Wertschöpfungsketten.

Für Unternehmen stellt sich somit nicht nur eine Compliance-Frage, sondern auch eine strategische: Wie kann der neue Rechtsrahmen aktiv genutzt werden?

Die Zeit läuft: Warum Unternehmen jetzt handeln müssen

Der Data Act ist bereits in Kraft getreten und wird ist seit dem 12. September 2025 weitgehend anwendbar. Zwar befindet sich das DADG noch im Gesetzgebungsverfahren, seine grundlegenden Strukturen sind jedoch bereits absehbar.

Für Unternehmen bedeutet dies ein begrenztes Zeitfenster. Die Umsetzung erfordert sowohl rechtliche als auch technische Anpassungen und kann nicht kurzfristig erfolgen.

Unternehmen, die zu spät reagieren, werden unter erheblichem Zeit- und Umsetzungsdruck stehen.

Sofortmaßnahmen zur Data-Act-Umsetzung

Für Unternehmen stellt jetzt insbesondere die Frage, wie schnell und strukturiert sie den Data Act umsetzen können.

  1. Anwendungsbereich und Datenrollen klären
    Am Anfang steht die Analyse des eigenen Geschäftsmodells. Unternehmen sollten kurzfristig prüfen, ob und in welchem Umfang ihre vernetzten Produkte und verbundenen Dienste in den Anwendungsbereich des Data Acts fallen. Dabei ist insbesondere zu klären, welche Daten entstehen und welche Rollen – etwa als Dateninhaber, Nutzer oder Empfänger – das Unternehmen einnimmt. Ohne diese Einordnung ist eine rechtssichere Umsetzung nicht möglich.

  2.  Vertragsstrukturen gezielt anpassen
    Auf dieser Grundlage folgt der nächste Schritt: die vertragliche Umsetzung. Unternehmen sollten bestehende datenbezogene Vertragswerke und standardisierte Vertragsbedingungen überprüfen. Der Data Act stellt konkrete Anforderungen an Datenzugangs- und Datennutzungsvereinbarungen, insbesondere im Hinblick auf faire Vertragsbedingungen. Im Fokus stehen dabei Regelungen zu Datenzugang, Datennutzung, Vergütung und Geheimnisschutz.

  3. Technische Datenbereitstellung sicherstellen
    Die rechtlichen Anforderungen lassen sich nur erfüllen, wenn auch die technische Grundlage stimmt.
    Unternehmen müssen sicherstellen, dass sie relevante Daten rechtzeitig, sicher sowie in strukturierter und maschinenlesbarer Form bereitstellen können. Der Data Act schreibt keine konkrete technische Lösung vor. Er verlangt jedoch die Fähigkeit zur standardisierten und interoperablen Datenbereitstellung.

  4. Interne Prozesse und Verantwortlichkeiten etablieren
    Neben Recht und Technik ist die Organisation entscheidend. Unternehmen sollten klare Zuständigkeiten und Prozesse für den Umgang mit Datenzugangsansprüchen, Nutzeranfragen und behördlichen Verfahren definieren.
    Nur so lassen sich entsprechende Anforderungen effizient und rechtssicher bearbeiten.

  5. Schnittstelle zur GDPR sauber lösen
    Besondere Aufmerksamkeit erfordert die Abgrenzung zur GDPR. In vielen Fällen sind auch personal data betroffen, sodass beide Regelwerke parallel Anwendung finden. Unternehmen müssen daher sicherstellen, dass Datenzugangsansprüche im Einklang mit den datenschutzrechtlichen Anforderungen umgesetzt werden.

Jetzt handeln, um Wettbewerbsvorteile zu sichern

Die Umsetzung des Data Act ist kein isoliertes Compliance-Projekt. Sie betrifft Verträge, IT-Architektur, Datenstrategie und Governance gleichermaßen.

Genau hier liegt die Herausforderung: Viele Unternehmen verstehen die regulatorischen Anforderungen, scheitern jedoch an der strukturierten und rechtssicheren Umsetzung.

2B Advice unterstützt Unternehmen dabei, den Data Act ganzheitlich umzusetzen.
Von der Analyse des Anwendungsbereichs über die Anpassung von Vertragsstrukturen bis hin zur Integration in bestehende Compliance- und IT-Prozesse.

Unser Ansatz verbindet juristische Expertise mit operativer Umsetzung – praxisnah, skalierbar und auf komplexe Unternehmensstrukturen ausgerichtet.

Sprechen Sie mit uns, wenn Sie:

  • Ihren konkreten Handlungsbedarf im Data Act klären möchten
  • bestehende Strukturen rechtssicher anpassen wollen
  • oder den Data Act strategisch für Ihr Geschäftsmodell nutzen möchten


Jetzt unverbindlich Erstgespräch anfragen.

Source: Data Act-Durchführungsgesetz – Entwurf

Aristotelis Zervos is Editorial Director at 2B Advice, a lawyer and journalist with profound expertise in data protection, GDPRIT compliance and AI governance. He regularly publishes in-depth articles on AI regulation, GDPR compliance and risk management. You can find out more about him on his Author profile page.

Contact us
Tags:
, , ,
Share this post :

Popular categories

Newsletter

Subscribe to our data protection newsletter to receive the latest updates, tips and insights straight to your inbox.
Subscribe

Latest posts