Datenaufsicht: Die Bundesnetzagentur soll es richten!

Data Act-Durchführungsgesetz: Die Bundesnetzagentur soll umfassende Befugnisse erhalten.

Am 11.1.2024 trat der Data Act in Kraft. Die meisten Regelungen des Acts sind von Unternehmen ab dem 12.9.2025 zu beachten. Viel Zeit für die Umsetzung bleibt daher nicht mehr. Kurz gesagt werden mit dem Data Act sektorübergreifende Regelungen für den Zugang und die Verwendung von Daten geschaffen. Im Fokus steht der Zugriff auf Maschinendaten, die durch IoT-Geräte erzeugt werden. Diese Daten können die Nutzer der Geräte zukünftig herausverlangen oder direkt deren Weitergabe an ein anderes Unternehmen veranlassen. Die Herrschaft der Produkthersteller über “ihre” Daten wird daher gebrochen. Auch für Cloud-Anbieter enthält der Data Act einige Neuerungen, die auf die Beschleunigung und Vereinfachung des Wechselprozesses zu Mitbewerbern abzielen.

Als europäische Verordnung gilt der Data Act unmittelbar in allen Mitgliedstaaten der Europäischen Union (EU). Wie üblich sieht der europäische Gesetzgeber ein “public enforcement” vor: Von den Mitgliedstaaten sind Behörden zu errichten, die den Vollzug des Acts sicherstellen sowie “wirksame” und “abschreckende” Sanktionsmechanismen vorsehen (Art. 37 Abs. 5 lit. d) Data Act).

In Deutschland scheinen die Würfel nun gefallen zu sein. Nach dem kürzlich gemeinsam vom Bundesministerium für Wirtschaft und Klimaschutz (BMWK) sowie vom Bundesministerium für Digitales und Verkehr (BMDV) veröffentlichten Referentenentwurf eines “Data Act-Durchführungsgesetzes” (kurz DA-DG) soll die Bundesnetzagentur (BNetzA) die zentrale Aufsichtsbehörde werden. Positiv dabei: Es wird in Deutschland nur eine nationale Aufsicht geben. Ein Vollzug durch unterschiedliche Behörden auf Landesebene (wie beispielsweise im Datenschutzrecht) unterbleibt. Der Verzicht auf föderale Vollzugsstrukturen ist löblich. Eine Umsetzung auf Landesebene hätte angesichts der Fülle unbestimmter Rechtsbegriffe und unklarer Regelungskonzepte im Data Act mit Sicherheit zu einem Flickenteppich an unterschiedlichen Vollzugspraxen geführt.

Verstöße gegen den Data Act werden nach dem Referentenentwurf durch die BNetzA von Amts wegen und auf Beschwerde verfolgt. Für die neuen Aufgaben sollen in der BNetzA ca. 60 neue Stellen geschaffen werden. Zur Ermittlung von Verstößen gegen den Data Act erhält die BNetzA umfassende Befugnisse. Dazu gehört das Recht, Ermittlungen durchzuführen und Beweise zu sichern – sei es durch Augenscheinnahme, Zeugenvernehmungen oder Sachverständigengutachten. Bei Zeugen kann die Beeidigung der Aussagen verlangt werden. Es dürfen Durchsuchungen (auch von Geschäftsräumen) vorgenommen und Gegenstände beschlagnahmt werden. Auffällig ist die starke Anlehnung an die GWB-Befugnisregelungen: Die BNetzA erhält ähnlich weitreichende Ermittlungsbefugnisse wie die Kartellbehörde, viele Regelungen scheinen beinahe wortgleich übernommen zu sein.

Zu wenig Aufmerksamkeit widmet der Referentenentwurf dem Geheimnisschutz. Bereits im Data Act ist das Thema weitestgehend einseitig zugunsten der Datenempfänger gelöst. Wer über Geschäftsgeheimnisse verfügt, kann hieraus in der Regel kein Verweigerungsrecht herleiten, welches einem Data Act-Herausgabeverlangen entgegengehalten werden kann. Auch im Referentenentwurf bleibt der Geheimnisschutz unterbelichtet. Im behördlichen Verfahren ist es dem Geheimnisinhaber zwar erlaubt, ein Doppel mit Schwärzungen der Geschäftsgeheimnisse einzureichen, um eine Weitergabe an die Verfahrensbeteiligten zu verhindern. Jedoch fehlt ein Mechanismus, Informationen als geheimhaltungsbedürftig einzustufen und die Beteiligten zur Geheimhaltung zu verpflichten. Stattdessen ist der Geheimnisinhaber von der Entscheidung der BNetzA über die Zugangsgewährung für Verfahrensbeteiligte abhängig. Möchte die BNetzA Dritten gegen den Willen des Geheimnisinhaber Einsicht gewähren, dürfte nur die Möglichkeit des vorläufigen Rechtsschutzes bleiben.

Konfliktpotential bietet auch das Vollzugsverhältnis zum Datenschutzrecht. Enthält der nach dem Data Act herauszugebene Datensatz auch personenbezogene Daten, stellt sich die Frage, welche der 18(!) nationalen Datenschutzbehörden zuständig sein soll und wie die Zusammenarbeit der Behörden zu erfolgen hat. Diese Frage löst der Referentenentwurf vergleichsweise elegant, indem er eine Sonderzuständigkeit der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) begründet. Prozedural bindet die BNetzA die BfDI ein, wenn die Verarbeitung von personenbezogenen Daten zu prüfen und zu bewerten ist. Ein eigenständiges datenschutzrechtliches Verfahren ist nicht statthaft. Es ergeht eine einheitliche Entscheidung, eine isolierte Anfechtung des datenschutzrechtlichen Teils der Entscheidung ist nicht möglich.

Schließlich sieht der Referentenentwurf einen neuen “Bußgeldkatalog” vor. Für Verstöße gegen den Data Act können Bußgelder in Höhe von 500 000/100 000/50 000 Euro für schwere/mittlere/leichte Verstöße festgesetzt werden. Ein besonderes Bußgeld gibt es für Verstöße von “Gatekeepern”, diese können mit bis zu 5 Mio. Euro oder 4 % des in der EU erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden. Die Bußgelder erscheinen – abgesehen von der Sonderregel für Gatekeeper – fast schon moderat. Teuer kann allerdings ein Verstoß gegen eine Anordnung der BNetzA werden. Wer dieser nicht Folge leistet, kann mit einem Zwangsgeld von bis zu 10 Mio. Euro belegt werden. Interessant hierbei: Gegen Zwangsgelder findet der Rechtsweg vor den Verwaltungsgerichten statt. Wird hingegen ein Bußgeld verhängt, ist der Rechtsweg zu den Amtsgerichten gegeben. Auch im Extremfall eines “Höchstbußgeldes” über 5 Mio. Euro ist daher das Amtsgericht zuständig.

Die BNetzA soll es also richten. Sie wird zur zentralen Vollzugsbehörde für den Data Act. Damit setzt sich die Aufgabenkonzentration bei der BNetzA unvermindert fort. Neben dem Data Act soll die “Agentur” zukünftig auch die Einhaltung des AI Act (gemäß erstem KIMÜG-Entwurf), des Digital Services Act sowie des Data Governance Act überwachen.

Philippe Heinzke, LL.M., RA, ist Partner bei CMS Hasche Sigle am Standort in Düsseldorf. Er berät technologiegetriebene Unternehmen an der Schnittstelle zwischen Technik und Recht, insbesondere bei der rechtskonformen Implementierung von digitalen Geschäftsmodellen.