Datendurchsetzungsgesetz: Deutschland schafft Fakten für digitale Souveränität

Deutschland setzt mit einem eigenen Gesetz den europäischen Data Act in nationales Recht um. Die neuen Regeln für Datennutzung und -weitergabe treten sofort in Kraft und werden von zwei Behörden streng überwacht. Diese legislative Grundsteinlegung fällt mit einer europaweiten Offensive der Datenschutz-Aufseher zusammen, die ab sofort Transparenz und Informationspflichten bei Unternehmen überprüfen.

Doppelte Aufsicht: BNetzA und BfDI teilen sich Durchsetzung

Am 26. März 2026 verabschiedete der Bundestag das Datendurchsetzungsgesetz (DADG). Es beendet eine Übergangsphase und schafft klare Zuständigkeiten. Während der EU-Data Act bereits seit September 2025 gilt, fehlte bislang der nationale Rahmen für Beschwerden und Sanktionen. Diesen liefert das DADG nun.

Angesichts der neuen gesetzlichen Transparenzpflichten müssen Firmen ihre Dokumentation präzise führen, um Sanktionen zu vermeiden. Eine kostenlose Excel-Vorlage unterstützt Sie dabei, Ihr Verarbeitungsverzeichnis rechtssicher und zeitsparend gemäß Art. 30 DSGVO zu erstellen. Kostenlose Muster-Vorlage und Anleitung jetzt herunterladen

Die Bundesnetzagentur (BNetzA) wird zur zentralen Anlaufstelle. Sie ist künftig für Beschwerden über unfaire Vertragsklauseln zuständig und stellt sicher, dass Nutzer Zugang zu Daten aus vernetzten Produkten – wie smarter Industrieanlagen oder IoT-Geräten – erhalten. Parallel behält der Bundesbeauftragte für den Datenschutz (BfDI) seine Expertise für personenbezogene Daten. Wo Datenweitergabe persönliche Informationen betrifft, greift weiterhin die DSGVO. Dieser duale Ansatz soll eine Lücke bei der Durchsetzung schließen. Das Recht auf Datenportabilität wird so vom theoretischen Anspruch zur einklagbaren Pflicht.

Europa startet Transparenz-Offensive der Aufseher

Gleichzeitig startet die europäische Datenschutzbehörde EDPB eine koordinierte Überprüfungswelle. Im Fokus stehen 2026 die Transparenz- und Informationspflichten nach den Artikeln 12 bis 14 der DSGVO. 25 nationale Aufsichtsbehörden prüfen, wie Unternehmen ihre Datenverarbeitung gegenüber Nutzern erklären.

Ziel ist es, undurchsichtige „Dark Patterns“ und überkomplexe Datenschutzerklärungen zu beseitigen. Die Behörden werden in den kommenden Monaten Unternehmen verschiedener Branchen kontaktieren. Sie prüfen, ob Datenschutzhinüsse verständlich, transparent und leicht zugänglich sind. Diese Aktion zeigt: Die Aufseher wollen nicht nur reagieren, sondern aktiv gestalten.

Paradox der Praxis: Hohes Bewusstsein, große Abhängigkeit

Trotz des strengen Rahmens klafft eine Lücke zwischen Anspruch und Wirklichkeit. Eine aktuelle Studie von Kiteworks zeigt: Jedes dritte Unternehmen erlitt im vergangenen Jahr einen „Souveränitätsvorfall“. Dazu zählen unerlaubte grenzüberschreitende Datenübermittlungen, Compliance-Verstöße von Partnern oder behördliche Ermittlungen.

Noch deutlicher wird das Paradox durch eine Trendstudie von netfiles: Zwei Drittel der deutschen Firmen halten Datenhoheit für geschäftskritisch. Gleichzeitig setzen rund 60 Prozent weiterhin stark auf US-Cloud-Anbieter für sensible Daten. Vielen Organisationen fehlt die volle Kontrolle über Verschlüsselungsschlüssel – selbst bei europäischer Server-Lage. Digitale Souveränität wird so zunehmend als Risikomanagement verstanden.

Lücken in der Dokumentation fallen bei behördlichen Prüfungen sofort auf und können Bußgelder von bis zu 2 % des Jahresumsatzes nach sich ziehen. Erfahren Sie in diesem Experten-Ratgeber, welche häufig übersehenen Pflichtfelder Sie beim DSGVO-Verarbeitungsverzeichnis unbedingt beachten müssen. Hier die kostenlose Excel-Vorlage sichern

Gaia-X 2.0: Vom Konzept zur industriellen Praxis

Als Antwort auf diese Herausforderungen tritt die Initiative Gaia-X in eine neue Phase. „Season 2.0“ zielt auf den praktischen Einsatz interoperabler Datenräume in Schlüsselbranchen wie Gesundheit, Mobilität und Fertigung. Das kürzlich veröffentlichte „Danube“-Update des Trust-Frameworks ermöglicht automatisierte Compliance-Prüfungen. Unternehmen können die Souveränitäts-Eigenschaften von Partnern durch digitale Labels verifizieren.

In der Industrie gehen Projekte wie Catena-X und Manufacturing-X von der Pilotphase in den Regelbetrieb. Große Hersteller und Zulieferer machen die Teilnahme an diesen sicheren Datenräumen zunehmend zur Bedingung für ihre Lieferkette. Der Austausch von CO2-Fußabdrücken oder Qualitätsdaten wird möglich, ohne die Kontrolle über die ursprünglichen Datensätze zu verlieren. Die Voraussetzung dafür ist jedoch hochwertige, strukturierte Daten – ein Modernisierungsschub für viele mittelständische IT-Landschaften.

Geopolitisches Spannungsfeld und nächste Schritte

Der europäische Weg zur digitalen Souveränität verläuft im Schatten geopolitischer Spannungen. Die US-Regierung hat ihre Diplomaten angewiesen, europäische Daten-Lokalisierungsgesetze als Handelshemmnis zu kritisieren. Das unterstreicht den strategischen Wert von Daten im 21. Jahrhundert.

Innerhalb der EU dreht sich die Debatte nicht mehr um das „Ob“, sondern um das „Wie“. Wie lässt sich Souveränität erreichen, ohne Innovation zu ersticken? Die Schnittstellen zwischen DSGVO, Data Act und dem kommenden KI-Gesetz bleiben komplex. Aufseher arbeiten an gemeinsamen Leitlinien, besonders für die Nutzung personenbezogener Daten zum Training großer KI-Modelle.

Der nächste große Meilenstein steht im September 2026 an. Dann treten die „Design and Manufacturing“-Vorgaben des Data Act für alle neuen vernetzten Produkte auf dem EU-Market in Kraft. Hardware muss von Haus aus so konstruiert sein, dass Nutzer standardmäßig direkten, Echtzeit-Zugang zu Nutzungsdaten erhalten. Für Unternehmen bedeutet das verbleibende Jahr 2026 einen Wettlauf um technische und rechtliche Umsetzung. Wer seine Datenverarbeitungsverzeichnisse und Transparenzhinweise nicht aktualisiert, riskiert hohe Bußgelder. Die Ära der diskussionsfreien Datennutzung ist endgültig vorbei.

boerse | 69071048 |