[datensicherheit.de, 03.10.2025] Der eco – Verband der Internetwirtschaft e.V. geht in seiner aktuellen Stellungnahme auf den seit dem 12. September 2025 endgültig in Kraft getretenen europäischen „Data Act“: Auch Unternehmen in Deutschland müssen dessen Vorgaben umsetzen – doch noch immer fehle es an klaren Verfahrensregeln und einer schlüssigen nationalen Aufsichtsstruktur. In Kürze wolle die Bundesregierung das Durchführungsgesetz zum „Data Act“ im Kabinett beraten. Der eco begrüßt diesen Schritt, warnt aber: „Die Bundesregierung hat in der langen Übergangsfrist wertvolle Zeit verstreichen lassen. Jetzt muss schnell gehandelt werden, um deutschen Unternehmen nicht unnötig Steine in den Weg zu legen!“

Foto: eco

Alexander Rabe: Deutschland darf beim „Data Act“ nicht zum Bremsklotz im europäischen Binnenmarkt werden!

eco unterstützt klar strukturierte Aufgabenteilung zwischen BNetzA und BfDI

„Der ,Data Act’ kann ein entscheidender Impuls für Europas Datenwirtschaft sein – aber Deutschland darf diesen Impuls nicht durch Bürokratie und unklare Zuständigkeiten verspielen!“, fordert der eco-Geschäftsführer, Alexander Rabe.

• Er führt aus: „Wer in Europa Gesetze beschließt, muss auch für eine saubere Umsetzung sorgen. Das bedeutet: Klare Behördenstrukturen, praxisnahe Unterstützung für Unternehmen und Sanktionen mit Augenmaß!“

Der eco betont in diesem Zusammenhang insbesondere die Rolle der Bundesnetzagentur (BNetzA): Im aktuellen Entwurf sei vorgesehen, die BNetzA als zentrale Aufsichtsbehörde für den „Data Act“ zu benennen – mit klar abgegrenzter Zuständigkeit der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) für Datenschutzfragen.

Der eco hat 5 Kernforderungen für Deutschland formuliert

Der eco begrüßt diese Entscheidung zur Aufgabenteilung „ausdrücklich“, da sie die Grundlage für eine einheitliche Auslegung in Deutschland lege, Rechtssicherheit schaffe und die Datennutzung unterstütze.

Entscheidend sei nun, „dass die BNetzA personell und finanziell ausreichend gestärkt wird“. Nur so könne sie ihre Rolle nicht nur als Kontrollinstanz, sondern auch als aktiver Partner der Wirtschaft erfüllen – mit Leitlinien, Handlungsempfehlungen und einem direkten Draht zur Praxis.

Um eine erfolgreiche Umsetzung sicherzustellen, hat der eco fünf Kernforderungen für Deutschland formuliert:

1. Verhältnismäßige Aufsicht
   Kohärente Struktur mit der Bundesnetzagentur als zentraler Behörde und klarer Zuständigkeit der BfDI!
2. Sanktionen mit Augenmaß
   Verhältnismäßige Bußgelder, klare Abgrenzung zur DSGVO und ein Moratorium für KMU und Start-ups zu Beginn!
   Zudem sollten kleinere Verstöße, wie im Entwurf vorgesehen, mit einer Verwarnung geahndet werden, da KMU oft nicht über große Rechtsabteilungen verfügten und sonst abgeschreckt werden könnten, Daten zu nutzen.
3. Förderung statt nur Kontrolle
   Aufsicht auch als Ansprechpartner und Unterstützer mit praxisnahen Leitlinien!
4. Europaweite Rechtssicherheit
   Überschneidungen mit DSGVO und DGA adressieren, Leitlinien entwickeln und das geplante Datengesetzbuch als zentrale Lösung nutzen!
5. Streitbeilegung
   Unabhängige Schlichtungsstellen nach dem Vorbild der „Schlichtungsstelle Telekommunikation“ einrichten!
   Diese fehlten aktuell noch im Entwurf des Umsetzungsgesetzes – aus Sicht von eco wäre eine solche Ergänzung jedoch entscheidend, um eine unabhängige und faire außergerichtliche Konfliktlösung sicherzustellen.

Der eco fordert zügige, praxisorientierte Umsetzung als ein klares Signal an die Unternehmen

„Deutschland darf beim ,Data Act’ nicht zum Bremsklotz im europäischen Binnenmarkt werden“, unterstreicht Rabe .

• Jetzt komme es darauf an, die verbleibende Zeit für eine zügige, praxisorientierte Umsetzung und für ein klares Signal an die Unternehmen, „dass sie auf Unterstützung statt Rechtsunsicherheit bauen können“, zu nutzen.

Die „eco Kernforderungen zur Durchführung des Data Acts“ stehen online zur Verfügung – auch die „Stellungnahme zum Referentenentwurf eines Gesetzes zur Durchführung der Verordnung (EU) 2023/2854 (Data Act-Durchführungsgesetz – DA-DG)“ des eco ist auf dessen Website zu finden.

Weitere Informationen zum Thema:

eco VERBAND DER INTERNETWIRTSCHAFT
eco – Verband der Internetwirtschaft e.V. / Wir gestalten das Internet.

eco VERBAND DER INTERNETWIRTSCHAFT
Alexander Rabe

VERBAND DER INTERNETWIRTSCHAFT E.V. eco, 10.09.2025
eco Kernforderungen zur Durchführung des Data Act

VERBAND DER INTERNETWIRTSCHAFT E.V. eco, 14.03.2025
STELLUNGNAHME zum Referentenentwurf eines Gesetzes zur Durchführung der Verordnung (EU) 2023/2854 (Data Act-Durchführungsgesetz – DA-DG)

datensicherheit.de, 15.09.2025
Data Act: Geltung verschafft Nutzern von IoT-Systemen mehr Rechte / Nutzer sollen gemäß „Data Act“ fortan leichter zwischen genutzten Diensten wechseln können, welche mit Produkten im Kontext des „Internet of Things“ (IoT) zusammenhängen

datensicherheit.de, 14.09.2025
Data Act seit 12. September 2025 endgültig in Kraft – doch viele Fragen bleiben offen / Nach 20 Monaten Übergangsfrist fehlt es in Deutschland weiter an Verfahrensvorgaben und Aufsichtsbehörden zum „Data Act“ der EU

datensicherheit.de, 10.09.2025
Data Act: Geltungsbeginn am 12. September 2025 mit neuen Aufgaben für den HmbBfDI / Verbraucher und Wirtschaftsakteure profitieren von neuen Zugangsansprüchen auf Daten vernetzter Geräte, denn der „Data Act“ ermöglicht es sowohl Benutzern als auch Dritten, Sensordaten anzufordern

datensicherheit.de, 30.05.2025
Data Act – Frank Lange sieht Herausforderungen und Chancen für Unternehmen / „Data Act“ betrifft nahezu alle Branchen und wird weitreichende Veränderungen im Datenmanagement und der IT-Sicherheitsarchitektur nach sich ziehen

datensicherheit.de, 16.03.2025
Data Act: Kritik an geplanter Aufsichtsstruktur für die Durchsetzung / Landesdatenschutzbeauftragten sprechen sich bei der Umsetzung des Data Acts für eine föderale Aufsicht aus

[datensicherheit.de, 15.09.2025] Die Landesbeauftragte für Datenschutz Schleswig-Holstein / Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) betont in ihrer aktuellen Stellungnahme, dass seit dem 12. September 2025 nach einer Übergangsphase endgültig die „Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung“ gilt, kurz: „Datenverordnung“ („Data Act“). Nutzer sollen fortan leichter zwischen genutzten Diensten wechseln können, welche mit Produkten im Kontext des „Internet of Things“ (IoT) zusammenhängen. Für den Datenschutz besonders wichtig ist demnach, dass Anbieter den Nutzern auf Anforderung Produktdaten und verbundene Dienstdaten bereitstellen müssen. Das ULD – seit jeher für Beschwerden bei vermuteten Datenschutzverstößen zuständig – werde nun ebenfalls zuständig für solche Beschwerden, die mit der Verarbeitung personenbezogener Daten und den Rechten nach dem „Data Act“ zusammenhängen.

„Data Act“ verschafft Nutzern neue Rechte auf Datenzugang, -nutzung und -weitergabe

„Vernetzte Produkte sind insbesondere Gegenstände, die mit dem Internet verbunden sind und Daten über ihre Nutzung und deren Umgebung verarbeiten. Verbundene Dienste sind digitale Dienste mit deren Hilfe die vernetzten Produkte ihre Funktionen ausführen können.“

• Erfasst seien zum Beispiel elektronische Haushaltsgeräte, Fahrzeuge oder auch Produktionsmaschinen, die Daten speichern. Nutzer, die ein vernetztes Produkt besitzen oder denen zeitweilig vertragliche Rechte für die Nutzung des Produkts übertragen wurden oder die verbundene Dienste in Anspruch nehmen, erhielten mit dem „Data Act“ neue Rechte auf Zugang zu den Produktdaten.

Zusätzlich bestehen laut ULD „Weitergaberechte“, welche einen Dateninhaber verpflichten, verfügbare Produktdaten sowie die für die Auslegung und Nutzung dieser Daten erforderlichen Metadaten einer anderen Stelle zur Verfügung zu stellen.

ULD-Zuständigkeit nach „Data Act“ im Falle der Verarbeitung personenbezogene Daten

„Soweit im Zusammenhang vor allem mit der Wahrnehmung der Nutzungsrechte der Zugang, die Nutzung oder Weitergabe personenbezogener Daten zu prüfen ist, übernimmt das ULD nunmehr für die in Schleswig-Holstein verpflichteten Stellen die Datenschutzaufsicht.“ Die zugrundeliegende Aufgabenzuweisung ergebe sich aus Art. 37 Abs. 3 „Data Act“.

• „Sollten Personen der Ansicht sein, dass Unternehmen in Schleswig-Holstein ihre Rechte nach dem ,Data Act’ in Bezug auf die Verarbeitung personenbezogener Daten verletzen, haben diese die Möglichkeit, beim ULD eine Beschwerde einzureichen.“

Das ULD prüfe dann den vorgetragenen Sachverhalt und wirk im Falle einer Verletzung mit den bestehenden Befugnissen auf die Einhaltung der Vorgaben des „Data Act“ hin. Das Beschwerdeformular des ULD, das auch für Beschwerden nach dem „Data Act“ verwendet werden kann, steht online zur Verfügung.

Weitere Informationen zum Thema:

ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Das Unabhängige Landeszentrum für Datenschutz (ULD) ist die Dienststelle der Landesbeauftragten für Datenschutz und für Informationszugang / Wir über uns

ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Meldungen an das ULD

datensicherheit.de, 14.09.2025
Data Act seit 12. September 2025 endgültig in Kraft – doch viele Fragen bleiben offen / Nach 20 Monaten Übergangsfrist fehlt es in Deutschland weiter an Verfahrensvorgaben und Aufsichtsbehörden zum „Data Act“ der EU

datensicherheit.de, 10.09.2025
Data Act: Geltungsbeginn am 12. September 2025 mit neuen Aufgaben für den HmbBfDI / Verbraucher und Wirtschaftsakteure profitieren von neuen Zugangsansprüchen auf Daten vernetzter Geräte, denn der „Data Act“ ermöglicht es sowohl Benutzern als auch Dritten, Sensordaten anzufordern

datensicherheit.de, 30.05.2025
Data Act – Frank Lange sieht Herausforderungen und Chancen für Unternehmen / „Data Act“ betrifft nahezu alle Branchen und wird weitreichende Veränderungen im Datenmanagement und der IT-Sicherheitsarchitektur nach sich ziehen

datensicherheit.de, 16.03.2025
Data Act: Kritik an geplanter Aufsichtsstruktur für die Durchsetzung / Landesdatenschutzbeauftragten sprechen sich bei der Umsetzung des Data Acts für eine föderale Aufsicht aus

[datensicherheit.de, 14.09.2025] Der Digitalverband Bitkom e.V. hat am 12. September 2025 zu dem an diesen Tag endgültig in Kraft getretenen „Data Act“ Stellung genommen und moniert, dass viele Fragen offen geblieben seien. Nach 20 Monaten Übergangsfrist fehle es in Deutschland weiter an Verfahrensvorgaben und Aufsichtsbehörden. Der Bitkom hat einen eigenen Praxisleitfaden mit Hilfen für Unternehmen veröffentlicht.

Foto: Bitkom

Dr. Ralf Wintergerst zum „Data Act“: Wer in Europa Gesetze beschließt, muss auch für ihre Umsetzung sorgen!

Betroffene Unternehmen in Deutschland müssen nun europäischen „Data Act“ vollständig umgesetzt haben

Ab dem 12. September 2025 müssen die betroffenen Unternehmen in Deutschland den europäischen „Data Act“ vollständig umgesetzt haben. Doch die Bundesregierung habe es in der 20 Monate langen Übergangsfrist seit dem Beschluss nicht geschafft, Verfahrensfragen zu klären und Aufsichtsbehörden zu benennen.

• „Wer in Europa Gesetze beschließt, muss auch für ihre Umsetzung sorgen. Dazu gehört, die Betroffenen ausreichend zu informieren und zu unterstützen!“, betont der Bitkom-Präsident, Dr. Ralf Wintergerst.

Auch wegen vieler neuer und ungeklärter Rechtsbegriffe und fehlenden Ansprechpartnern in der Verwaltung habe in einer Bitkom-Studie im Frühjahr erst jedes hundertste Unternehmen (1%) den „Data Act“ vollständig umgesetzt und gerade einmal weitere vier Prozent immerhin teilweise. Bitkom Research habe hierzu im Auftrag 605 Unternehmen in Deutschland ab 20 Beschäftigten telefonisch in den Kalenderwochen 10 bis 16 2025 repräsentativ befragt.

Deutschland als Bremsklotz für einheitliche europäische Auslegung des „Data Act’“

„Deutschland manövriert sich nicht nur in einen Europarechtsbruch, sondern wird auch zu einem Bremsklotz für eine einheitliche europäische Auslegung des ,Data Act’“, kritisiert Wintergerst.

• Er fordert: „Die Bundesregierung muss jetzt zügig ein Durchführungsgesetz zum ,Data Act’ verabschieden und perspektivisch eine ,Digitalagentur’ unter dem Digitalministerium gründen, die auch die Aufsicht zum ,Data Act’ übernimmt!“

Bis dahin sollten die Bundesnetzagentur und die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) für den „Data Act“ zuständig sein – auch um eine Zersplitterung der Aufsicht in die einzelnen Landesdatenschutzbehörden zu vermeiden.

„EU Data Act“ bereits im Januar 2024 in Kraft getreten

Der „EU Data Act“ ist im Januar 2024 in Kraft getreten und wurde nach einer Übergangsfrist nun grundsätzlich anwendbar. Er beinhaltet eine Vielzahl von unterschiedlichen Regelungen, die etwa den Wechsel zwischen „Cloud“-Anbietern erleichtern oder den Zugriff von Verwaltungen auf Unternehmensdaten in einem Notfall ermöglichen sollen.

• Er mache aber auch Vorgaben für Vertragsklauseln rund um Daten und gibt Unternehmen und Nutzern Rechte an Daten von vernetzten Geräten, was die Entwicklung neuer Dienstleistungen unterstützen könne.

Um konkrete Hilfestellung für die Unternehmen zu geben, hat der Bitkom am 12. September 2025 zudem einen „Praxisleitfaden“ mit Antworten auf die wichtigsten Fragen zum „Data Act“ veröffentlicht.

Bitkom hat „Praxisleitfaden“ zum „Data Act“ publiziert

Unter anderem soll der vorliegende „Praxisleitfaden“ die Regelungen erklären und Praxis-Tipps geben, um bei der Umsetzung im Unternehmen zu helfen. Der „Umsetzungsleitfaden zum Data Act: Hilfestellungen zur Umsetzung von (EU) 2023/2854 – aus der Praxis für die Praxis“ steht kostenlos zum Download bereit.

• Darüber hinaus hatte der Bitkom bereits im Vorjahr, 2024, Beispiele veröffentlicht, wie sich die Chancen im „Data Act“ nutzen lassen.

Dabei gehe es unter anderem um Möglichkeiten, Daten für wirtschaftliche und gesellschaftliche Ziele zu nutzen, Transparenz über Daten zu erhalten oder KI-Modelle zu trainieren. Der Leitfaden „Chancen im Data Act“ ist ebenfalls online verfügbar.

Weitere Informationen zum Thema:

bitkom
Über uns

bitkom
Dr. Ralf Wintergerst / Präsident Bitkom / Vorsitzender der Geschäftsführung & Group CEO Giesecke+Devrient GmbH

bitkom
Data Act: Umsetzung & Stolpersteine

bitkom
Leitfaden: Umsetzung des Data Act

bitkom
Leitfaden: Chancen im Data Act

datensicherheit.de, 10.09.2025
Data Act: Geltungsbeginn am 12. September 2025 mit neuen Aufgaben für den HmbBfDI /Verbraucher und Wirtschaftsakteure profitieren von neuen Zugangsansprüchen auf Daten vernetzter Geräte, denn der „Data Act“ ermöglicht es sowohl Benutzern als auch Dritten, Sensordaten anzufordern

datensicherheit.de, 30.05.2025
Data Act – Frank Lange sieht Herausforderungen und Chancen für Unternehmen / „Data Act“ betrifft nahezu alle Branchen und wird weitreichende Veränderungen im Datenmanagement und der IT-Sicherheitsarchitektur nach sich ziehen

datensicherheit.de, 16.03.2025
Data Act: Kritik an geplanter Aufsichtsstruktur für die Durchsetzung / Landesdatenschutzbeauftragten sprechen sich bei der Umsetzung des Data Acts für eine föderale Aufsicht aus

[datensicherheit.de, 10.09.2025] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) weist in seiner aktuellen Stellungnahme darauf hin, dass angefangen z.B. bei elektronischen Zahnbürsten bis hin zu Windkraftturbinen viele Gebrauchsgegenstände und Maschinen Sensordaten über das Internet an ihre Hersteller senden. Ab dem 12. September 2025 profitieren demnach Verbraucher und Wirtschaftsakteure von neuen Zugangsansprüchen auf die Daten solcher vernetzter Geräte, denn der „Data Act“ ermögliche es sowohl den Benutzern dieser Geräte als auch Dritten, solche Sensordaten anzufordern – Voraussetzung sei, „dass die Anspruchsvoraussetzungen nach dem ,Data Act’ erfüllt sind, das Datenschutzrecht dem nicht entgegensteht und Geschäftsgeheimnisse gewahrt bleiben“.

Foto: Bildwerkstatt Nienstedten

Thomas Fuchs unterstreicht: Datenzugang und Datenschutz sind kein Widerspruch!

Bei Personenbezug sind Datenschutzbehörden fortan „Data Act“-Aufsicht

„Handelt es sich bei den zu übermittelten Daten um personenbezogene, setzt das Europarecht die Datenschutzbehörden als Aufsicht für die Einhaltung der Bestimmungen des ,Data Acts’ ein.“ Diese Aufgabe folge unmittelbar aus Artikel 37 Abs. 3 „Data Act“.

Der HmbBfDI unterstütze Anspruchsberechtigte bei der Geltendmachung ihrer Rechte – „soweit sie personenbezogene Daten betreffen“. Darunter fielen insbesondere:

• Zugang zu personenbezogenen Daten beim Hersteller
• Wechsel des Anbieters von Datenverarbeitungsdiensten (sogenanntes Cloud-Switching)
• Schutz der Vertraulichkeit durch technisch-organisatorische Maßnahmen bei der empfangenden Stelle
• Transparenzpflichten

Diese Rechte könne der HmbBfDI gegebenenfalls mit Anordnungen durchsetzen. Verstöße könnten teilweise mit Geldbußen geahndet werden. Alternativ könnten die Ansprüche selbständig über den Zivilrechtsweg verfolgt werden. „Zu den Rechten und Pflichten aus dem ,Data Act’, dem Zusammenspiel mit dem Datenschutzrecht und der aufsichtsbehördlichen Durchsetzung hat der HmbBfDI eine ausführliche Handreichung veröffentlicht.“

Beschwerde möglich, wenn Rechte aus dem „Data Act“ in Bezug auf personenbezogene Daten verletzt wurden

Jede natürliche und juristische Person könne nun Beschwerde beim HmbBfDI einlegen, „wenn sie Grund zur Annahme hat, dass ein Hamburger Unternehmen ihre Rechten aus dem ,Data Act’ in Bezug auf personenbezogene Daten verletzt“.

• Die Beschwerden könnten formlos an das Funktionspostfach „dataact [at] datenschutz [dot] hamburg [dot] de“ gerichtet werden. Alternativ könnten die Postanschrift der Behörde oder das allgemeine Beschwerdeformular verwendet werden.

Jeder Beschwerde werde federführend in dem Referat nachgegangen, „das auch die datenschutzrechtliche Aufsicht über die jeweilige verantwortliche Stelle hat“. Damit werde der Zielrichtung des Art. 37 Abs. 3 „Data Act“ gefolgt, Datenverwendungen nach der „Datenschutz-Grundverordnung“ (DSGVO) und nach dem „Data Act“ einheitlich zu beurteilen. Das Fachreferat führe seine Ermittlungen in enger Abstimmung mit dem Fachbereich für Informationsfreiheit, um die Expertise zu Geschäftsgeheimnissen als Hinderungsgrund für einen Informationszugang einzubeziehen.

„Data Act“ soll helfen Datenmonopole aufzubrechen und Privatsphäre-Interessen zu wahren

Die Zuständigkeit des HmbBfDI als „Data Act“-Aufsicht sei auf Fälle mit personenbezogenen Daten beschränkt. Für alle übrigen Konstellationen müsse der Bundesgesetzgeber eine oder mehrere Aufsichtsbehörden für Deutschland benennen. Dies sei bislang nicht geschehen.

• Ansprüche in Bezug auf nicht personenbezogene Daten könnten deshalb bis auf Weiteres nur eigenständig auf dem Zivilrechtsweg erfolgen.

Der HmbBfDI, Thomas Fuchs, stellt abschließend klar: „Datenzugang und Datenschutz sind kein Widerspruch! Wir werden uns im Rahmen des ,Data Acts’ dafür einsetzen, dass Datenmonopole aufgebrochen werden und zugleich Privatsphäre-Interessen gewahrt bleiben. Für die Unternehmen in Hamburg ist es gut, dass die für sie zuständige Datenschutzaufsichtsbehörde auch nach gleichen Maßstäben die Datenschutzfragen im Rahmen des ,Data Acts’ klärt.“

Weitere Informationen zum Thema:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Unsere Dienststelle

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Thomas Fuchs

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, 29.04.2025
INFORMATION: Der Data Act als Herausforderung für den Datenschutz

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Elektronische Beschwerde

datensicherheit.de, 30.05.2025
Data Act – Frank Lange sieht Herausforderungen und Chancen für Unternehmen / „Data Act“ betrifft nahezu alle Branchen und wird weitreichende Veränderungen im Datenmanagement und der IT-Sicherheitsarchitektur nach sich ziehen

datensicherheit.de, 16.03.2025
Data Act: Kritik an geplanter Aufsichtsstruktur für die Durchsetzung / Landesdatenschutzbeauftragten sprechen sich bei der Umsetzung des Data Acts für eine föderale Aufsicht aus

[datensicherheit.de, 30.05.2025] Frank Lange, „Technical Director“ von Anomali, geht in seiner aktuellen Stellungnahme auf eine Umfrage des Digitalverbands Bitkom e.V. zum „Data Act“ ein – diese verdeutlicht demnach, „dass sich viele Unternehmen bislang wenig mit der bevorstehenden Umsetzung des ,Data Act’ beschäftigt haben“. Dies zeige sich an den erschreckenden ein Prozent der befragten Unternehmen, welche die Vorgaben bisher vollständig umgesetzt hätten – weitere vier Prozent zumindest teilweise. Lange betont: „Dabei betrifft die Verordnung nahezu alle Branchen und wird weitreichende Veränderungen im Datenmanagement und der IT-Sicherheitsarchitektur nach sich ziehen.“

Foto: Anomali

Frank Lange: Unternehmen sollten die verbleibende Zeit von knapp drei Monaten nutzen, um ihre Datenstrategie zu überprüfen…

Hoher Umsetzungsaufwand der komplexen Anforderungen des „Data Act“

Die Anforderungen des „Data Act“ seien komplex und verursachten insbesondere für die IT- und Security-Abteilungen einen hohen Umsetzungsaufwand.

• „Gerade die Integration datenschutzrechtlicher Vorgaben in bestehende IT-Infrastrukturen erfordert moderne, skalierbare Plattformen, die eine umfassende Sicht auf sämtliche Sicherheitsdaten ermöglichen.“

Hierbei spielten automatisierte Analysen, Künstliche Intelligenz (KI) und ein einheitliches Management von Sicherheits- und IT-Operations-Daten eine zentrale Rolle.

Umsetzung des „Data Act“ beschleunigen und zugleich Innovationsfähigkeit erhalten

Durch die Kombination von „Security Information and Event Management“ (SIEM), „Threat Intelligence“ und automatisierter Reaktion könnten Unternehmen ihre Ressourcen effizienter einsetzen, die Umsetzung des „Data Act“ beschleunigen und zugleich ihre Innovationsfähigkeit erhalten.

• Lange rät eindringlich: „Unternehmen sollten die verbleibende Zeit von knapp drei Monaten nutzen, um ihre Datenstrategie zu überprüfen, bestehende Sicherheitsprozesse zu modernisieren und auf Technologien zu setzen, die Skalierbarkeit, Transparenz und Automatisierung bieten!“

Nur so lasse sich der Balanceakt zwischen regulatorischer „Compliance“ und datengetriebener Innovation erfolgreich meistern.

Weitere Informationen zum Thema:

bitkom, 20.05.2025
100 Tage vor dem Data Act: Kaum ein Unternehmen ist vorbereitet

Europäische Kommission
Datengesetz

DIHK
Data Act

bitkom
Data Act: Umsetzung & Stolpersteine

datensicherheit.de, 16.03.2025
Data Act: Kritik an geplanter Aufsichtsstruktur für die Durchsetzung / Landesdatenschutzbeauftragte sprechen sich bei der Umsetzung des Data Acts für eine föderale Aufsicht aus

[datensicherheit.de, 16.03.2025] Die Landesdatenschutzbeauftragten sprechen sich bei der Umsetzung des Data Acts für eine föderale Aufsicht aus, die Europa- und Verfassungsrecht beachtet und Doppelstrukturen vermeidet. Das geht aus der Stellungnahme der unabhängigen Datenschutzaufsichtsbehörden der Länder zum Referentenentwurf für ein Data-Act-Durchführungsgesetz hervor.

Zuständigkeit soll nach dem Referentenentwurd dem BfDI übertragen werden

Die Aufsicht über die Verarbeitung personenbezogener Daten durch Verantwortliche aus dem nicht-öffentlichen Bereich unterliegt in Deutschland mit wenigen Ausnahmen den jeweiligen Landesdatenschutzbehörden. Im Gegensatz dazu soll nach § 3 des Referentenentwurfs die Zuständigkeit für die Überwachung der Anwendung der Datenschutzgrundverordnung (DSGVO) im Rahmen des Data Act auf die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) übertragen werden.

Die Landesdatenschutzbeauftragten äußern in ihrer Stellungnahme Bedenken gegen diesen Vorschlag:

„Der Referentenentwurf verstößt gegen Europarecht: Der Data Act sieht vor, dass für die datenschutzrechtliche Aufsicht die bereits bestehende Datenschutzaufsicht zuständig ist. Demnach wären die Landesdatenschutzbehörden im Rahmen ihres bereits zugewiesenen Aufgabenspektrums zur Kontrolle des Schutzes personenbezogener Daten gemäß DSGVO auch im Rahmen des Data Act die zuständigen Aufsichtsbehörden. Nach dem klaren Wortlaut der Verordnung will der europäische Gesetzgeber eine Zersplitterung der Zuständigkeiten vermeiden. Die klare und abschließende Regelung im Data Act bietet keinen Anhaltspunkt für eine Befugnis der Mitgliedstaaten, abweichende Regelungen zu treffen.
Der Referentenentwurf verstößt gegen die verfassungsrechtliche Verteilung der Verwaltungskompetenzen: Nach dem Referentenentwurf würde künftig eine Bundesbehörde die Datenverarbeitungen von Landesbehörden überwachen, soweit der Data Act datenschutzrechtliche Anforderungen für öffentliche Stellen adressiert. Das widerspricht den grundlegenden föderalen Ordnungsprinzipien.
Der Referentenentwurf führt zu Doppelstrukturen: In vielen Fällen lassen sich Datenschutzfragen im Rahmen des Data Act nicht trennscharf von der DSGVO trennen. Im Ergebnis bewirkt der Referentenentwurf, dass in vielen Fällen neben der BfDI auch die Landesdatenschutzbehörden zuständig sein werden. Damit ergibt sich für Unternehmen, Behörden und Betroffene das Gegenteil der beabsichtigten Zuständigkeitsvereinfachung: Es droht eine Doppelaufsicht durch eine Bundes- und eine Landesbehörde zum gleichen Sachverhalt.“

Dazu erklärt Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit: „Die geplante Aufsichtsstruktur beim Data Act entspricht nicht dem Europa- und Verfassungsrecht. Für die Praxis besonders relevant sind die bürokratischen Folgen für Unternehmen, Behörden und die Betroffenen. Statt Zuständigkeiten zu vereinfachen, führen die Pläne des Bundes zu Doppelstrukturen bei der Aufsicht und geringerer Rechtssicherheit für alle Beteiligten. Stattdessen sollte die etablierte föderale Aufsichtsstruktur im Datenschutz auch für den Bereich des Data Acts beibehalten werden.“

Hintergrund: Der Data Act

Ziel des Data Acts ist es, die Verwendung von Daten, die bei der Nutzung von vernetzten Produkten und verbunden Diensten (z. B. Geräte in der Industrie, in der Verwaltung und in privaten Haushalten mit Verbindungen zum Internet) entstehen, zu verbessern und die sie betreffenden Regelungen unionsweit zu vereinheitlichen. Nutzerinnen und Nutzer sollen darüber entscheiden können, ob sie diese Daten erhalten oder ob sie an Dritte (z. B. Reparaturbetriebe) weitergegeben werden. Auch öffentliche Stellen haben einen Anspruch, dass ihnen in Notfällen die Daten aus der Gerätenutzung übermittelt werden.

Sind in den nutzungsgenerierten Daten auch personenbezogene Daten enthalten, richtet sich deren Verarbeitung nach der Datenschutzgrundverordnung (DSGVO). Im Fall eines Widerspruchs zwischen Data Act und DSGVO geht die DSGVO vor.

Weitere Informationen zum Thema:

datenschutz-berlin.de
Stellungnahme der unabhängigen Datenschutzaufsichtsbehörden der Länder

datenschutz-berlin.de
Entwurf eines Gesetzes zur Durchführung der Verordnung (EU) 2023/2854 (Data Act-Durchführungsgesetz – DA-DG) (Stand: 5. Februar 2025)

datensicherheit.de, 05.02.2025
AI Act der EU verbietet bestimmte KI-Systeme und verpflichtet zur -Kompetenz