Verderben (zu) viele Köche den Brei?KuR_2025_05_S1

Wer vollzieht den Data Act in Deutschland: BNetzA und BfDI oder doch mehr (oder weniger)?

Die Marktaufsicht soll „nicht zersplittert“ sein, steht im Koalitionsvertrag unter „Spitzenstandort für Zukunftstechnologien“. Auch wird dort eine Reform der Datenschutzaufsicht in Aussicht gestellt, mit einer Verankerung der Datenschutzkonferenz im BDSG und mehr Kohärenz beim Datenschutz.

Parallel dazu hat das Bundesministerium für Wirtschaft und Klimaschutz (BMWK) den Entwurf zum Data Act-Durchführungsgesetz (DA-DG-E) konsultiert. Nach den Plänen im DA-DG-E sollen zwei zentrale Behörden ins Rennen um den Vollzug des Data Act geschickt werden: Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) für die Einhaltung der DSGVO im Bereich des Data Act und die Bundesnetzagentur (BNetzA) für den Rest (§§ 2, 3 DA-DG-E). Im noch im Januar geleakten Entwurf eines Begleitgesetzes zur KI-Verordnung war die Behördenwelt noch diverser ge- plant: BNetzA als zentrale Marktüberwachungsbehörde, diverse sektorspezifische Sonderzuständigkeiten etwa für Finanzunternehmen und alle Datenschutzbehörden von Bund und Ländern für die Einhaltung der DSGVO in KI-Systemen.

Die Absicht, die Datenschutzaufsicht für den Data Act bei der BfDI zu zentralisieren, ist auf Kritik gestoßen – wie auch die Bestrebungen im Koalitionsvertrag, die Datenschutzaufsicht zunehmend zu zentralisieren. Bei all den Diskussionen sollten zwei Themenbereiche nicht vermengt werden:

• Eine Angelegenheit sollte bei einer Behörde liegen. Zersplitterte Behördenzuständigkeiten, durch die Marktakteure und Betroffene etliche Stellen konsultieren müssen, um einen einheitlichen Lebenssachverhalt zu klären, sind kontraproduktiv: Zu nah rückt damit das Sinnbild der irrlichternden Verwaltung. Nicht ohne Grund ist die Vermeidung divergierender Behördenentscheidungen seit jeher eine zentrale Aufgabe des Verwaltungsrechts.

• Die (exekutive) Staatsmacht sollte nicht bei einer oder wenigen Behörden liegen. Eine dezentrale Aufsicht dient auch auf exekutiver Ebene der Gewaltenteilung, der Diversität und damit letztlich unserem Freiheitsschutz. Nicht ohne Grund ist unser Staatssystem föderal aufgebaut und legt die Staatsmacht in die Hände vieler.

Führt dies nun zu einem Gegensatz, zu unvereinbaren Zielsetzungen? Nein! Und bei voller Unterstützung für die so notwendige Verteilung von Macht und den Erhalt unseres föderalen Systems tut doch die Zentralisierung einheitlicher Sachverhalte bei einer einheitlichen Behörde not, um den ohnehin großen Herausforderungen für die Wirtschaft bei der Umsetzung derart unklarer Regelungswerke wie dem Data Act mit einheitlichen Leitlinien zu begegnen.

Der DA-DG-E wagt angesichts dessen einen mutigen und in der Grundidee absolut begrüßenswerten Zweischritt, wenn BNetzA und BfDI Hand in Hand den Data Act vollziehen sollen. Gleichwohl dürfen dabei die EU-rechtlichen Vorgaben ebenso wenig außer Acht bleiben wie nationale föderale Strukturvorgaben.

In der Entwurfsbegründung zum DA-DG-E heißt es: „Es bleibt dem nationalen Gesetzgeber unbenommen, Zuständigkeitsregelungen der Datenschutzaufsichtsbehörden für Durchführung der VO (EU) 2023/2854 zu treffen.“ Über die Gesetzgebungskompetenz für das Recht der Wirtschaft könne der Bund die Sonderzuständigkeit der BfDI begründen. Während Letzteres durchaus diskutabel ist, übergeht dieser Ansatz allerdings den klaren Verweis des Data Act auf die DSGVO: Zur Durchsetzung des Datenschutzrechts sind die nach der DSGVO benannten nationalen Behörden zuständig. Und dies sind in Deutschland eben 17 Behörden und nicht nur eine. Solange die Zuständigkeit unter der DSGVO also nicht insgesamt in die Hände der BfDI gelegt wird, sind damit auch unter dem Data Act alle Landesdatenschutzbehörden schon aufgrund der EU-rechtlichen Vorgaben mit im Rennen.

Kohärent in Einklang gebracht werden könnten die beiden so wesentlichen Ziele – einheitliche Aufsicht, föderale Grundstruktur – allerdings unter Beachtung der EU-Vorgaben mit einer Aufwertung der Datenschutzkonferenz (DSK): Dass dies rechtsdogmatisch tragfähig wäre, ist überzeugend rechtswissenschaftlich dargelegt worden, etwa im Rechtsgutachten zur „DSK 2.0“ von Prof. Richter und Prof. Spiecker gen. Döhmann aus Januar 2022. Auch fügte es sich in die Ziele der sich formierenden Koalition, die DSK zu stärken und einer zersplitterten Marktaufsicht entgegen zu wirken. Das Duo aus BNetzA und DSK könnte so zielgerichtet die Irrungen und Wirrungen des Data Act mit seinen unzähligen unklaren Regelungen auflösen, mit ausreichenden Ressourcen und herausragender Sachkompetenz. Damit wären viele Ziele erreicht, um die Chancen auf eine kohärente Umsetzung des Data Act in Deutschland enorm zu steigern.

RAin Dr. Kristina Schreiber*