Data-Act-Gesetz tritt in Kraft: Bundesnetzagentur übernimmt Datenkontrolle

Das Data-Act-Durchführungsgesetz ist am heutigen Samstag in Kraft getreten und schafft den nationalen Rahmen für die europäische Datenstrategie. Das Gesetz regelt die Zuständigkeiten deutscher Behörden bei der Überwachung von Datenaustausch und Zugriffsrechten – sowohl für öffentliche als auch private Einrichtungen.

Wer kontrolliert was?

Die Bundesnetzagentur (BNetzA) und der Bundesbeauftragte für den Datenschutz (BfDI) übernehmen künftig die Aufsicht über nicht-öffentliche Stellen. Für öffentliche Einrichtungen in Hamburg – etwa das Universitätsklinikum – ist der Hamburgische Beauftragte für Datenschutz (HmbBfDI) zuständig.

Die neue Rechtslage verschärft die Anforderungen an die Dokumentation von Datenströmen im Unternehmen erheblich. Mit dieser kostenlosen Excel-Vorlage erstellen Sie Ihr Verarbeitungsverzeichnis gemäß Art. 30 DSGVO zeitsparend und rechtssicher. Kostenlose Muster-Vorlage und Schritt-für-Schritt-Anleitung jetzt gratis herunterladen

Die neue Aufgabenverteilung vereinfacht zwar das Beschwerdeverfahren, hat aber eine Kehrseite: Der HmbBfDI nimmt keine Beschwerden mehr zu nicht-öffentlichen Stellen entgegen, da diese Verantwortung nun auf Bundesebene liegt. Das System soll Herstellern von IoT-Geräten und Rettungsdiensten einen sicheren Datenzugang ermöglichen.

Zentrales Datenportal für Kurzzeitvermietungen

Parallel dazu fungiert die BNetzA ab sofort als zentrale Datendrehscheibe für Kurzzeitvermietungen. Grundlage ist die EU-Verordnung 2024/1028, die seit dem 20. Mai gilt. Plattformen wie Airbnb und Booking.com müssen Buchungsdaten künftig digital an diese Stelle übermitteln. Länder und Gemeinden können dann darauf zugreifen.

Die Verwaltungskosten sollen so sinken – Schätzungen zufolge um rund 636.000 Euro pro Jahr.

Cloud-Souveränität: Neue Hürden für US-Anbieter

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 27. April die C3A-Kriterien veröffentlicht. Sie definieren Standards für Cloud-Souveränität in sechs Bereichen. Besonders brisant: Der US-Cloud-Act kollidiert weiterhin mit dem EU-Datengesetz – ein strukturelles Problem für amerikanische Hyperscaler.

Der neue C5:2026-Standard mit 168 Kriterien ersetzt die Version von 2020 und wird ab Juni 2027 verpflichtend. Im Gesundheitssektor ist bereits seit Juli 2025 ein C5-Typ-2-Zertifikat für Cloud-Dienste nötig.

Die Telekom T Cloud Public wurde im GovTech-Rahmen gestartet. Das System speichert Daten ausschließlich in deutschen Rechenzentren und erfüllt BSI-C5- sowie DSGVO-Anforderungen. Das Moodle-System in Baden-Württemberg nutzt es bereits für 1,5 Millionen Nutzer.

Kritische Infrastruktur: Fristen und Haftung

Die Umsetzung der NIS-2-Richtlinie und des KRITIS-Dachgesetzes verändert die Unternehmenslandschaft grundlegend. Das NIS-2-Umsetzungsgesetz gilt seit Dezember 2025, das KRITIS-Dachgesetz seit März 2026.

Die Zahl der betroffenen Organisationen ist von 4.500 auf rund 30.000 gestiegen. Sie müssen sich bis zum 17. Juli beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) registrieren.

Eine neue Verordnung für kritische Infrastrukturen (KritisV) soll noch vor der Sommerpause 2026 verabschiedet werden. Sie setzt konkrete Schwellenwerte: Krankenhäuser mit mehr als 30.000 stationären Fällen und LNG-Terminals mit Kapazitäten über 5.190 GWh. Die Geschäftsführung haftet persönlich – und muss alle drei Jahre eine Cybersicherheitsschulung absolvieren.

Angesichts neuer Gesetze wie dem KRITIS-Dachgesetz müssen Unternehmer ihre IT-Sicherheit proaktiv stärken, um Haftungsrisiken zu minimieren. Dieses Gratis-E-Book enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen erfüllen. IT-Sicherheits-Ratgeber jetzt kostenlos herunterladen

Open Source als Standard

Die Bundesregierung setzt bei öffentlicher IT-Beschaffung künftig auf „Open Source als Voreinstellung“. Der IT-Planungsrat hat die EVB-IT-Vertragsvorlagen aktualisiert: Open-Source-Software hat Vorrang, wer proprietäre Software nutzt, muss dies gesondert begründen.

Digitalisierung im Gesundheitswesen

Das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) startet im Sommer 2026 ein elektronisches Verzeichnis (HIIS). Ab dem 1. Januar 2028 müssen Hersteller von Medizinprodukten und Implantaten interoperable Schnittstellen für digitale Gesundheitsanwendungen (DiGA) bereitstellen.

Eine Taskforce aus Bundes- und Landesministern arbeitet zudem daran, die Sozialverwaltung bis Ende 2027 zu verschlanken. Ziel ist ein zentrales Sozialportal, das verschiedene Bürgerleistungen bündelt. 16 Pilotprojekte für den Nationalen Online-Erfüllungsanspruch (NOOTS) wurden mit 35 Millionen Euro gefördert – die erste Version des Systems läuft seit Januar 2026.

Unternehmen klagen über Bürokratie

Trotz aller Modernisierungsbemühungen: Die deutsche Wirtschaft sieht erhebliche Probleme. Eine Bitkom-Langzeitstudie zeigt: 97 Prozent der Unternehmen stuften den Aufwand für Datenschutz 2025 als hoch ein. 81 Prozent gaben an, dass die DSGVO Geschäftsprozesse verkompliziert habe – vor zehn Jahren waren es erst 25 Prozent.

Die steigende Cyberkriminalität unterstreicht die Dringlichkeit. Das Bundeskriminalamt (BKA) bezifferte die Schäden durch Cyberangriffe 2025 auf 202,4 Milliarden Euro. Ransomware-Attacken nahmen um zehn Prozent zu. Die Folge: 89 Prozent der Unternehmen planen den Ausbau ihrer lokalen Infrastruktur – sowohl für Sicherheit als auch für KI-Anwendungen.

de | wissenschaft | 69445999 |