Data-Act-Gesetz: Bundesnetzagentur übernimmt Datenzugang-Kontrolle

Die neue Regulierung markiert einen Wendepunkt im europäischen Datenrecht. Während die Zuständigkeiten für Datenschutz und Plattformaufsicht neu geordnet werden, zeichnen sich parallel grundlegende Veränderungen bei der Haftung digitaler Dienste ab. Mehrere Gerichtsurteile und Gesetzesinitiativen in der EU stellen die bisherigen Privilegien von Plattformbetreibern infrage.

Neue Aufsichtsstrukturen für den Datenzugang

Anzeige: Seit heute gilt das Data-Act-Durchführungsgesetz – die Bundesnetzagentur übernimmt die Datenzugang-Kontrolle für nicht-öffentliche Stellen. Wer jetzt seine Compliance-Prozesse nicht anpasst, riskiert Haftungsfallen. Unser Report liefert Checklisten und Dokumentationsvorlagen für die neuen Anforderungen. Jetzt kostenlosen Report anfordern

Mit Inkrafttreten des Durchführungsgesetzes sind die Aufsichtsaufgaben in Deutschland abschließend geklärt. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) übernimmt dauerhaft die Kontrolle über öffentliche Stellen in Hamburg. Dazu gehört die Überwachung von Herstellern vernetzter Geräte sowie die Bearbeitung von Datenzugangsanfragen in Notlagen wie Naturkatastrophen oder Pandemien.

Für den nicht-öffentlichen Bereich ist künftig die Bundesnetzagentur zuständig – in Abstimmung mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI). Die Folge: Der HmbBfDI nimmt keine Beschwerden mehr zu nicht-öffentlichen Stellen entgegen. Die Durchsetzungswege sind damit klar getrennt.

Plattform-Haftung vor dem Umbruch

Aktuelle Gerichtsentscheidungen deuten auf eine grundlegende Neuausrichtung des sogenannten "Haftungsprivilegs" hin. Im Fokus steht ein Urteil des Europäischen Gerichtshofs (EuGH) zur Rechtssache Russmedia. Es legt nahe, dass Plattformbetreiber künftig eigenständig und vorbeugend Inhalte prüfen müssen – und nicht erst auf konkrete Hinweise reagieren dürfen.

Der Hamburgische Datenschutzbeauftragte will diese Grundsätze nun auf soziale Netzwerke anwenden. Branchenvertreter warnen vor „Chilling Effects" und „Overblocking". Kritiker befürchten, dass die etablierten Schutzmechanismen ausgehöhlt werden, die Plattformen bislang vor einer ständigen Vorabkontrolle von Nutzerinhalten bewahrt haben.

Parallel laufen Durchsetzungsverfahren gegen große Tech-Konzerne weiter. Der irische High Court wies im Mai eine Klage von Meta ab und ebnete damit einem Verfahren der irischen Datenschutzkommission (DPC) den Weg. Im Raum stehen mögliche Strafen zwischen 360 und 430 Millionen Euro. Auslöser ist eine Beschwerde aus dem Jahr 2018 zu Datenzugangsrechten. Das Gericht stellte klar: Aufsichtsbehörden dürfen auch auf Einzelbeschwerden hin systemweite Korrekturmaßnahmen anordnen.

Beweislast und KI: Neue Regeln für Unternehmen

Auch die Gesetzgebung reagiert auf die Herausforderungen der Künstlichen Intelligenz. Der französische Senat verabschiedete am 8. April 2026 in erster Lesung einen Gesetzesentwurf, der eine widerlegbare Vermutung von Urheberrechtsverletzungen einführt. Demnach müssen KI-Anbieter nachweisen, dass ihre Systeme keine geschützten Werke verwendet haben, wenn entsprechende Anhaltspunkte vorliegen. Das Gesetz folgt auf das Scheitern der EU-KI-Haftungsrichtlinie 2025 und zwingt Unternehmen zu lückenloser Dokumentation ihrer Trainingsdaten.

In Deutschland stärkte die Justiz den Schutz vertraulicher Informationen. Das Oberlandesgericht Düsseldorf äußerte am 5. Mai 2026 erhebliche Zweifel an Auskunftsanordnungen des Bundeskartellamts. Die Behörde hatte Medienunternehmen zur Preisgabe von Informanten bei der Kraftstoffpreisberichterstattung zwingen wollen. Das Gericht entschied: Dies verletze die Pressefreiheit, da die Identifizierung der Informanten für die Ermittlungen nicht erforderlich sei.

Compliance und Sicherheit: Unternehmen unter Druck

Anzeige: Die Beweislastumkehr bei KI-Trainingsdaten kommt – Unternehmen müssen künftig nachweisen, dass keine geschützten Werke verwendet wurden. Fehlt die lückenlose Dokumentation, drohen Millionenstrafen wie im Fall Meta. Unser Leitfaden zeigt, wie Sie Ihre Datenprozesse rechtssicher gestalten. Dokumentationsvorlage jetzt sichern

Die veränderte Rechtslage spiegelt sich in den Unternehmen wider. Eine Bitkom-Umfrage von 2025 mit über 600 Firmen ergab: 81 Prozent der Befragten sehen die Datenschutz-Grundverordnung (DSGVO) als Erschwernis für Geschäftsprozesse – 2016 waren es erst 25 Prozent. 72 Prozent der Unternehmen halten die deutsche Datenschutzpraxis für übertrieben.

Neue technische Standards kommen hinzu. Seit Juli 2025 benötigen Cloud-Dienste im Gesundheitswesen ein C5-Typ-2-Zertifikat. Ende April 2026 veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) die C3A-Kriterien für Cloud-Souveränität. Diese adressieren „Cyber Dominance" und sind für US-amerikanische Hyperscaler strukturell schwer zu erfüllen – wegen Konflikten zwischen dem US-Cloud-Act und dem EU-Data-Act. Eine überarbeitete C5-Version mit 168 Einzelanforderungen wird ab Juni 2027 verbindlich.

Die regulatorischen Entwicklungen fallen in eine Zeit wachsender Sicherheitsrisiken. Erst am 28. Mai 2026 griff ein Cyberangriff auf einen externen Abrechnungsdienstleister deutscher Universitätskliniken zehntausende Patientendaten ab – ein Beleg für die anhaltenden Verwundbarkeiten digitaler Lieferketten trotz strenger Regulierung.

de | wirtschaft | 69446576 |