Aufsichtsstruktur für die Durchsetzung des Data Act in Deutschland ist verfassungs- und europarechtswidrig
Veröffentlicht am:Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 14.03.2025
Die Landesdatenschutzbeauftragten sprechen sich bei der Umsetzung des Data Acts für eine föderale Aufsicht aus, die Europa- und Verfassungsrecht beachtet und Doppelstrukturen vermeidet. Das geht aus der Stellungnahme der unabhängigen Datenschutzaufsichtsbehörden der Länder zum Referentenentwurf für ein Data Act Durchführungsgesetz hervor.
Die Aufsicht über die Verarbeitung personenbezogener Daten durch Verantwortliche aus dem nicht-öffentlichen Bereich unterliegt in Deutschland mit wenigen Ausnahmen den jeweiligen Landesdatenschutzbehörden. Im Gegensatz dazu soll nach § 3 des Referentenentwurfs die Zuständigkeit für die Überwachung der Anwendung der Datenschutzgrundverordnung (DSGVO) im Rahmen des Data Act auf die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) übertragen werden.
Die Landesdatenschutzbeauftragten äußern in ihrer Stellungnahme Bedenken gegen diesen Vorschlag:
- Der Referentenentwurf verstößt gegen Europarecht: Der Data Act sieht vor, dass für die datenschutzrechtliche Aufsicht die bereits bestehende Datenschutzaufsicht zuständig ist. Demnach wären die Landesdatenschutzbehörden im Rahmen ihres bereits zugewiesenen Aufgabenspektrums zur Kontrolle des Schutzes personenbezogener Daten gemäß DSGVO auch im Rahmen des Data Act die zuständigen Aufsichtsbehörden. Nach dem klaren Wortlaut der Verordnung will der europäische Gesetzgeber eine Zersplitterung der Zuständigkeiten vermeiden. Die klare und abschließende Regelung im Data Act bietet keinen Anhaltspunkt für eine Befugnis der Mitgliedstaaten, abweichende Regelungen zu treffen.
- Der Referentenentwurf verstößt gegen die verfassungsrechtliche Verteilung der Verwaltungskompetenzen: Nach dem Referentenentwurf würde künftig eine Bundesbehörde die Datenverarbeitungen von Landesbehörden überwachen, soweit der Data Act datenschutzrechtliche Anforderungen für öffentliche Stellen adressiert. Das widerspricht den grundlegenden föderalen Ordnungsprinzipien.
- Der Referentenentwurf führt zu Doppelstrukturen: In vielen Fällen lassen sich Datenschutzfragen im Rahmen des Data Act nicht trennscharf von der DSGVO trennen. Im Ergebnis bewirkt der Referentenentwurf, dass in vielen Fällen neben der BfDI auch die Landesdatenschutzbehörden zuständig sein werden. Damit ergibt sich für Unternehmen, Behörden und Betroffene das Gegenteil der beabsichtigten Zuständigkeitsvereinfachung: Es droht eine Doppelaufsicht durch eine Bundes- und eine Landesbehörde zum gleichen Sachverhalt.
Dazu erklärt Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit: „Die geplante Aufsichtsstruktur beim Data Act entspricht nicht dem Europa- und Verfassungsrecht. Für die Praxis besonders relevant sind die bürokratischen Folgen für Unternehmen, Behörden und die Betroffenen. Statt Zuständigkeiten zu vereinfachen, führen die Pläne des Bundes zu Doppelstrukturen bei der Aufsicht und geringerer Rechtssicherheit für alle Beteiligten. Stattdessen sollte die etablierte föderale Aufsichtsstruktur im Datenschutz auch für den Bereich des Data Acts beibehalten werden.“
Hintergrund: Der Data Act
Ziel des Data Act ist es, die Verwendung von Daten, die bei der Nutzung von vernetzten Produkten und verbunden Diensten (z. B. Geräte in der Industrie, in der Verwaltung und in privaten Haushalten mit Verbindungen zum Internet) entstehen, zu verbessern und die sie betreffenden Regelungen unionsweit zu vereinheitlichen. Nutzerinnen und Nutzer sollen darüber entscheiden können, ob sie diese Daten erhalten oder ob sie an Dritte (z. B. Reparaturbetriebe) weitergegeben werden. Auch öffentliche Stellen haben einen Anspruch, dass ihnen in Notfällen die Daten aus der Gerätenutzung übermittelt werden.
Sind in den nutzungsgenerierten Daten auch personenbezogene Daten enthalten, richtet sich deren Verarbeitung nach der Datenschutzgrundverordnung (DSGVO). Im Fall eines Widerspruchs zwischen Data Act und DSGVO geht die DSGVO vor.