Der Bundestag hat am 26. März 2026 das Gesetz zur Durchführung der Datenverordnung (DADG) beschlossen. Damit hat Deutschland – mit deutlicher Verspätung – den nationalen Rechtsrahmen geschaffen, den der EU Data Act den Mitgliedstaaten abverlangt. Nachfolgend geben wir einen Überblick über Hintergrund, Inhalt und die Bußgeldregelungen des neuen Gesetzes.
Der Bundestag hat am 26. März 2026 das Gesetz zur Durchführung der Datenverordnung (DADG) beschlossen. Damit hat Deutschland – mit deutlicher Verspätung – den nationalen Rechtsrahmen geschaffen, den der EU Data Act den Mitgliedstaaten abverlangt. Nachfolgend geben wir einen Überblick über Hintergrund, Inhalt und die Bußgeldregelungen des neuen Gesetzes.
Warum braucht es das Gesetz?
Der EU Data Act (Verordnung (EU) 2023/2854) gilt als EU-Verordnung in weiten Teilen seit dem 12. September 2025 unmittelbar. Materielle Datenzugangsrechte, Pflichten zur Datenbereitstellung und Regeln für den Cloud-Wechsel ergeben sich also direkt aus dem Data Act selbst – dazu haben wir hier (Her mit den Daten) und hier (Ihre Fragen, unsere Antworten) ausführlich berichtet.
Was die Verordnung aber nicht regelt, sind die institutionellen Fragen: Welche Behörde ist zuständig? Wie laufen Beschwerdeverfahren ab? Welche Sanktionen drohen bei Verstößen? Dies müssen die Mitgliedstaaten jeweils national regeln. Das DADG ist also kein eigenständiges Datengesetz, sondern die Ausführungsgesetzgebung zur unmittelbar geltenden EU-Verordnung.
Wesentlicher Inhalt des DADG
Das Gesetz ist bewusst schlank gehalten. Es enthält im Kern:
- die Benennung der zuständigen Behörden (§§ 2, 3 DADG),
- Regelungen zur Zusammenarbeit zwischen diesen Behörden sowie mit sektoralen Fachbehörden (§§ 3, 4 DADG),
- Vorschriften zur Zulassung privater Streitbeilegungsstellen (§ 5 DADG),
- Ermittlungs- und Durchsetzungsbefugnisse der Bundesnetzagentur (§§ 7–12 DADG),
- Regeln zur elektronischen Kommunikation und Information der Öffentlichkeit (§§ 13, 14 DADG) sowie
- einen umfassenden Bußgeldkatalog (§§ 15, 16 DADG).
Ergänzend wird in Art. 2 des Gesetzes das Urheberrechtsgesetz angepasst: Das Schutzrecht sui generis an Datenbanken (§ 87b UrhG) findet keine Anwendung, wenn Daten mittels eines unter den Data Act fallenden vernetzten Produkts oder verbundenen Dienstes erlangt wurden.
Wer ist zuständig?
Bundesnetzagentur als zentrale Aufsichtsstelle
Die Bundesnetzagentur (BNetzA) wird als einzige zuständige Behörde nach Art. 37 Abs. 1 der Datenverordnung benannt. Sie ist damit:
- zentrale Anlaufstelle für alle Fragen rund um den Data Act,
- zuständig für Beschwerden und deren Bearbeitung nach Art. 38 der Datenverordnung,
- verantwortlich für die Zulassung von Streitbeilegungsstellen,
- zuständig für die Prüfung von Datenverlangen öffentlicher Stellen des Bundes nach Kapitel V der Datenverordnung und
- Bußgeldbehörde nach § 36 Abs. 1 Nr. 1 OWiG.
Ein separater Datenkoordinator wird nicht benannt; die BNetzA übernimmt auch diese Aufgabe.
BfDI als Datenschutzaufsicht – eine Sonderzuständigkeit
Für den Schutz personenbezogener Daten im Anwendungsbereich des Data Act ist abweichend von der üblichen Zuständigkeitsverteilung nach § 40 BDSG nicht die jeweilige Landesdatenschutzbehörde, sondern die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) zuständig – auch für nicht-öffentliche Stellen.
Das ist politisch nicht unumstritten: Der Bundesrat und auch die Datenschutzbehörden der Länder hatten gefordert, die Zuständigkeit bei den Landesdatenschutzbehörden zu belassen. Die Bundesregierung hat das unter Verweis auf Effizienz und Kohärenz abgelehnt.
In der Praxis ergibt sich damit ein mehrstufiges Verfahren: Die BNetzA prüft den Sachverhalt, beteiligt bei datenschutzrechtlichem Bezug die BfDI und ist an deren Ergebnis gebunden. Die datenschutzrechtliche Einschätzung der BfDI kann nicht isoliert, sondern nur gemeinsam mit der Gesamtentscheidung der BNetzA angefochten werden.
Was hat sich bei der Zuständigkeit im Gesetzgebungsverfahren geändert?
Der Regierungsentwurf hatte der BNetzA eine umfassende Zuständigkeit ohne Einschränkung zugewiesen – auch für die Prüfung von Datenverlangen der Landesbehörden nach Kapitel V der Datenverordnung. Der Bundesrat sah darin einen Eingriff in föderale Ordnungsprinzipien und forderte eine Ausnahme. Im parlamentarischen Verfahren wurde die Forderung aufgegriffen: Die BNetzA prüft Datenverlangen nach Kapitel V nun nur für Bundesbehörden; für Landesbehörden verbleibt die Zuständigkeit beim jeweiligen Landesrecht.
Die Sonderzuständigkeit der BfDI für die Datenschutzaufsicht über nicht-öffentliche Stellen (§ 3 Abs. 1 DADG) blieb dagegen ungeachtet der Kritik unverändert. Die Koalitionsfraktionen haben allerdings eine weite teleologische Auslegung empfohlen: Die BfDI-Zuständigkeit solle sich auch auf datenschutzrechtliche Fragen erstrecken, die innerhalb desselben Rechtsverhältnisses liegen, soweit es durch den Data Act geprägt wird – um eine Aufspaltung in parallele Aufsichtsverfahren zu vermeiden.
Daneben wurden die Ermittlungs- und Durchsetzungsbefugnisse der BNetzA klarer strukturiert: Die §§ 7–9 wurden umgestellt (erst Ermittlungen und Auskunft, dann Durchsetzung), und in § 9 Abs. 1 wurde klargestellt, dass die BNetzA nur „im Rahmen ihrer Zuständigkeit“ die Einhaltung der Datenverordnung überprüft.
Bußgelder: Was droht bei Verstößen?
Der Bußgeldkatalog in § 15 DADG erfasst Verstöße gegen zentrale Pflichten des Data Act. Die Bußgelder gliedern sich in vier Stufen:
Stufe 1: Bis zu 5 Mio. Euro (bzw. 2 % des Gesamtumsatzes bei >250 Mio. € Umsatz)
| Norm Data Act | Pflicht | Max. Bußgeld |
|---|---|---|
| Art. 5 Abs. 3 lit. a, b | Verbot für Gatekeeper, Nutzer zur Datenbereitstellung an den Datenempfänger aufzufordern oder durch geschäftliche Anreize zu veranlassen | bis 5 Mio. € / 2 % |
Stufe 2: Bis zu 500.000 Euro
| Norm Data Act | Pflicht | Max. Bußgeld |
|---|---|---|
| Art. 3 Abs. 1 | Vernetzte Produkte/verbundene Dienste müssen so konzipiert sein, dass Daten zugänglich sind | bis 500.000 € |
| Art. 4 Abs. 1 S. 1 / Art. 5 Abs. 1 S. 1 | Pflicht zur Datenbereitstellung an Nutzer bzw. Dritte | bis 500.000 € |
| Art. 4 Abs. 10 | Verbot der unberechtigten Nutzung oder Weitergabe von Daten durch den Nutzer in bestimmten Fällen | bis 500.000 € |
| Art. 4 Abs. 13 S. 2 / Art. 5 Abs. 6 | Verbot der Verwendung von Daten zur Ableitung der wirtschaftlichen Lage des Dateninhabers | bis 500.000 € |
| Art. 6 Abs. 2 lit. c, d | Verbot der Bereitstellung empfangener Daten an weitere Dritte | bis 500.000 € |
| Art. 6 Abs. 2 lit. e | Verbot der Nutzung/Weitergabe empfangener Daten zur Entwicklung konkurrierender Produkte | bis 500.000 € |
Stufe 3: Bis zu 100.000 Euro
| Norm Data Act | Pflicht | Max. Bußgeld |
|---|---|---|
| Art. 4 Abs. 14 S. 1 | Verbot der Bereitstellung von Produktdaten an Gatekeeper | bis 100.000 € |
| Art. 6 Abs. 1 S. 2 | Pflicht zur Löschung nicht mehr benötigter Daten | bis 100.000 € |
| Art. 6 Abs. 2 lit. b | Verbot der Datennutzung für Profiling | bis 100.000 € |
| Art. 6 Abs. 2 lit. h | Verbot, Nutzer an der Datenweitergabe zu hindern | bis 100.000 € |
| Art. 11 Abs. 1 S. 2 | Verbot der Diskriminierung von Datenempfängern | bis 100.000 € |
| Art. 11 Abs. 2 | Pflicht zur Befolgung einer behördlichen Aufforderung | bis 100.000 € |
| Art. 14 | Pflicht zur Befolgung einer Anordnung (Geschäftsgeheimnisse) | bis 100.000 € |
| Art. 23 S. 2 | Verbot, Wechselhindernisse bei Cloud-Diensten aufzuzwingen | bis 100.000 € |
| Art. 30 Abs. 2 S. 1 | Pflicht zur Bereitstellung von Schnittstellen beim Cloud-Wechsel | bis 100.000 € |
| Art. 30 Abs. 3 | Pflicht zur Gewährleistung der Kompatibilität (12 Monate nach Spezifikationsveröffentlichung) | bis 100.000 € |
| Art. 31 Abs. 3 | Pflicht zur Unterrichtung des Kunden | bis 100.000 € |
| Vollziehbare Anordnung der BNetzA (§ 9 Abs. 3 DADG) | Verstoß gegen eine Durchsetzungsanordnung | bis 100.000 € |
| § 5 Abs. 2 S. 3 DADG | Pflicht zur Unterrichtung der BNetzA über Änderungen bei Streitbeilegungsstellen | bis 100.000 € |
| Art. 6 Abs. 1 S. 1 (über § 15 Abs. 3) | Pflicht zur Verarbeitung gemäß vereinbarter Zwecke und Bedingungen | bis 100.000 € |
Stufe 4: Bis zu 50.000 Euro
| Norm Data Act | Pflicht | Max. Bußgeld |
|---|---|---|
| Art. 4 Abs. 5 S. 1 / Art. 5 Abs. 4 S. 1 | Verbot, unzulässige Informationen vom Nutzer zu verlangen | bis 50.000 € |
| Art. 4 Abs. 7 S. 2 / Art. 5 Abs. 10 S. 2 / Art. 25 Abs. 4 S. 1 / Art. 32 Abs. 5 | Mitteilungspflichten (Ablehnung, Wechsel, internationale Übermittlung) | bis 50.000 € |
| Art. 4 Abs. 8 S. 2 / Art. 5 Abs. 11 S. 2 | Nachweispflicht bei Verweigerung der Datenweitergabe | bis 50.000 € |
| Art. 9 Abs. 7 | Informationspflicht bei Verhandlung über Gegenleistung | bis 50.000 € |
| Art. 25 Abs. 1 S. 2 i.V.m. Abs. 2, 3 | Pflicht zur Bereitstellung eines Cloud-Wechselvertrags | bis 50.000 € |
| Art. 26 | Informationspflicht bei Vertragsschluss (Cloud-Dienste) | bis 50.000 € |
| Art. 30 Abs. 5 | Pflicht zum Datenexport beim Cloud-Wechsel | bis 50.000 € |
| Art. 37 Abs. 11 | Pflicht zur Benennung eines Vertreters | bis 50.000 € |
| Art. 37 Abs. 12 S. 1 | Pflicht zur Beauftragung eines Vertreters | bis 50.000 € |
Was hat sich bei den Bußgeldern im Gesetzgebungsverfahren geändert?
Die Bußgeldhöhen (5 Mio. €, 500.000 €, 100.000 €, 50.000 € sowie die umsatzbezogene 2%-Schwelle) sind gegenüber dem Regierungsentwurf unverändert geblieben.
Geändert hat sich aber der Umfang des Katalogs: Der Regierungsentwurf enthielt in § 15 Abs. 2 noch 35 Bußgeldtatbestände –, die beschlossene Fassung nur noch 27. – Gestrichen wurden insbesondere:
- Verstöße gegen Informationsbereitstellungspflichten nach Art. 3 Abs. 2 und 3 DA
- Verstöße gegen Mitteilungspflichten gegenüber der zuständigen Behörde nach Art. 4 Abs. 7 S. 3, Art. 5 Abs. 10 S. 3 sowie Art. 4 Abs. 8 S. 3, Art. 5 Abs. 11 S. 3 DA
- der Tatbestand zur Nutzung von Daten nach Art. 4 Abs. 13 S. 1 DA (womit die Fortnutzung der Daten durch den Hersteller in Deutschland behördlich nicht sanktioniert werden kann)
- das Verbot der Datenverwendung nach Art. 6 Abs. 2 lit. f DA
- der Tatbestand zur Änderung/Aufhebung technischer Schutzmaßnahmen nach Art. 11 Abs. 1 S. 3 DA
- Verstöße gegen Informationspflichten bei Cloud-Diensten nach Art. 28 Abs. 1 und 2 DA
- der Tatbestand zu intelligenten Verträgen nach Art. 36 Abs. 1 DA
Die Begründung der Koalitionsfraktionen stellt klar: Die Streichung diene der Wahrung der Verhältnismäßigkeit und der Reduzierung der Compliance-Last, insbesondere mit Blick auf KMU und Start-ups. Eine Bebußung reiner Informations- und Mitteilungspflichten sei nicht erforderlich. Das ist richtig und sinnvoll für die Informationspflichten. Die Streichung von Verstößen gegen Art. 4 Abs. 13 hat damit jedoch nichts zu tun und kommt Herstellern zu Gute, die die Daten einfach fortnutzen wollen. Hier wird es darauf ankommen, dass die BNetzA auf entsprechende Beschwerden hin, die Nutzung untersagt und dann ggf. mit Zwangsgeldern operiert, wenn sich Hersteller an die Anordnung nicht halten.
Praxis-Hinweis: Die BNetzA setzt zunächst auf Dialog
In der Episode #37 des Data Navigator Podcasts hat Andrea Sanders-Winter, Leiterin der Digitalabteilung der Bundesnetzagentur, deutlich gemacht, dass die BNetzA nicht mit Bußgeldern vorpreschen will. Der Fokus liege zunächst auf Information, Beratung und der Begleitung der Praxis. Bußgeldverfahren seien das letzte Mittel. Das passt auch zur Systematik des DADG: Vor einer Anordnung muss die BNetzA zunächst ein Abhilfeverlangen aussprechen und eine angemessene Frist setzen. Erst wenn dem nicht nachgekommen wird, kann sie Maßnahmen anordnen und Zwangsgelder bis zu 500.000 Euro festsetzen.
Fazit
Das DADG ändert nichts an den materiellen Pflichten aus dem Data Act – diese gelten ohnehin unmittelbar. Es schafft aber die institutionelle Infrastruktur für deren Durchsetzung in Deutschland. Unternehmen sollten das Gesetz zum Anlass nehmen, ihre Data-Act-Compliance zu überprüfen: Sind Informationspflichten gegenüber Nutzern erfüllt? Bestehen Datenlizenzverträge? Sind die Cloud-Verträge angepasst? Die BNetzA wird zwar nicht sofort mit Bußgeldern um sich werfen – aber die Rechtsgrundlage dafür steht jetzt.
Noch Fragen zum Data Act und seiner Umsetzung? Nehmen Sie gerne mit uns Kontakt auf.