Sachverständige uneins über Data-Act-Durchführungsgesetz

Berlin: (hib/LBR) Der Entwurf für das Data-Act-Durchführungsgesetz (21/2998) ist bei Sachverständigen, die am Mittwoch zu einer öffentlichen Anhörung des Ausschusses für Digitales und Staatsmodernisierung geladenen waren, auf Zuspruch wie auf Detailkritik gestoßen. Kritik wurde insbesondere an unklaren Begriffen und Rechtsunsicherheiten, aber auch an strukturellen Schwächen in der Aufsichtsarchitektur und der Kohärenz des Datenschutzes geäußert.

Der Gesetzentwurf dient der Umsetzung der EU-Verordnung 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung. Der Data Act enthält Bestimmungen mit dem Ziel, in unterschiedlichen Lebensbereichen Daten mehr und besser nutzen zu können. Ziel des Gesetzes ist es laut Bundesregierung, die EU-Vorgaben durch nationale Verfahrens-, Zuständigkeits- und Sanktionsregelungen zu ergänzen. So soll die Bundesnetzagentur (BNetzA) als zuständige Behörde benannt und zur zentralen Anlaufstelle für Fragen der Durchführung, Aufsicht und Durchsetzung werden. Der Entwurf regelt zudem die Zusammenarbeit der BNetzA mit der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) sowie mit sektoralen Behörden.

David Bomhard von der Aitava Rechtsanwaltsgesellschaft (auf Vorschlag der Fraktion CDU/CSU eingeladen) betonte in seiner Stellungnahme, dass der Gesetzgeber vor der Herausforderung stehe, die negativen Auswirkungen des Data Acts auf die deutsche Wirtschaft abzufedern. Es sei aktuell oft unklar, wie der Data Act auszulegen ist: Der Gesetzgeber verlange mehr Verbindlichkeit, als er selbst schaffe, sagte Bomhard. Notwendig seien vor allem eine Behörde, die mit Augenmaß tätig werde, sowie verbindliche Leitlinien. Er regte an, dass der Gesetzgeber die BNetzA verpflichten könne, Praxisleitfäden zu entwickeln.

Bomhard verwies auch auf offene Punkte und Rechtsunsicherheiten, etwa bei der Anordnung von Maßnahmen durch die Bundesnetzagentur, um die Einhaltung des Data Act sicherzustellen oder bei der Festsetzung von Zwangsgeldern. So brauche es eine Begrenzung im Ordnungswidrigkeiten-Katalog auf ausgewählte Pflichten, die für die Schutzzwecke des Data Acts essenziell seien.

Michael Dose (BDI, eingeladen auf Vorschlag der Unionsfraktion) betonte, eine zeitnahe Verabschiedung sei entscheidend, damit betroffenen Akteuren notwendige behördliche Ansprechpartner bei der praktischen Implementierung der neuen Vorgaben zur Verfügung stünden. Im Vordergrund stehen müsse die Beratung und Unterstützung der Anwendungspraxis. So müsse aus seiner Sicht das Motto lauten: „Ermöglichung statt Sanktionierung.“ Die Sonderzuständigkeit der BfDI für Datenschutzfragen sei richtig, sagte Dose weiter. Er formulierte den Wunsch, den Fokus darauf zu richten, wie eine starke Datenwirtschaft in Europa aufgebaut werden könne.

Auch Oliver Süme vom Verband der Internetwirtschaft (eingeladen auf Vorschlag der SPD-Fraktion) berichtete von einer „schwierigen Gemengelage“ in der Praxis. Je klarer die Zuständigkeiten, je kohärenter die Auslegung des Data Acts, umso einfacher sei es für die Wirtschaft, in der Praxis damit umzugehen, sagte Süme. Es gebe zudem viele branchenspezifischen Unsicherheiten, die Know-how und Personal erforderten. Daher sei es unerlässlich, dass die BNetzA finanziell und personell so ausgestattet werde, dass sie ihre neuen Aufgaben wirksam erfüllen könne, betonte er.

Florian Glatzner vom Verbraucherzentrale Bundesverband (eingeladen auf Vorschlag der Fraktion Die Linke) wies auf rechtliche und praktische Fragen hin: In der Praxis sei eine trennscharfe Abgrenzung zwischen Datenverarbeitungen im Kontext des Data Acts und sonstigen Datenverarbeitungen nach der DSGVO häufig nicht möglich. Eine mögliche Folge für Verbraucher sei, dass es einerseits komplizierter und andererseits zunehmend unklarer werde, an wen sie sich in welchem Fall wenden können.

In seiner Stellungnahme betonte der Verband zudem, dass die vorgesehene Rolle der BNetzA als zentrale Anlaufstelle tragfähig ausgestaltet werden müsse. Das Beschwerdeverfahren müsse klar, transparent und verbraucherorientiert ausgestaltet werden. Dazu gehöre etwa, dass Beschwerdeführer über wesentliche Verfahrensschritte von der BNetzA unterrichtet würden.

Boris Hollas (HTW Dresden, auf Vorschlag der Fraktion der AfD) sprach von „zahlreichen unbestimmten Rechtsbegriffen“ und von zusätzlicher Bürokratie, die entstehe. Die Abgrenzung, welche Produkte als vernetzte Produkte anzusehen sind, sei zudem schwierig. Hollas wies auf die Gefahr hin, dass Produkte gar nicht - oder verzögert - auf den Markt gelangten. Er plädierte dafür, das Gesetz deutlich zu vereinfachen. Mindestens brauche es ein zweijähriges Moratorium bei der Anwendung der Bußgeldvorschriften, um eine Rechtsprechung zur Datenverordnung zu entwickeln und Unternehmen die Möglichkeit zu geben, sich daran anzupassen.

Angesichts der Zuständigkeit der BfDI sowie der Landesdatenschutzbehörden in Bezug auf personenbezogene Daten sprach sich Hollas dafür aus, diesen Behörden auch die Zuständigkeit für die Anwendung und Durchsetzung der Datenverordnung zu übertragen. Die Zuständigkeit der BNetzA könne dazu führen, dass sich mehrere Behörden mit dem gleichen Sachverhalt befassten und es zu Kompetenzstreitigkeiten komme.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Rheinland-Pfalz, Dieter Kugelmann (eingeladen auf Vorschlag der Grünen-Fraktion), betonte, der Entwurf werde weder der verfassungsrechtlichen Zuständigkeitsverteilung zwischen Bund und Ländern noch den Vorgaben des Artikels 37 des Data Acts vollständig gerecht. Ausschließlich die Datenschutzaufsichtsbehörden verfügten über die fachrechtliche Expertise zur abschließenden Bewertung, auch der Datenzugangsansprüche, betonte Kugelmann.

Es sei zudem nicht richtig, die Komplexität im Rahmen von Durchführungsgesetzen noch zu erhöhen. Auch Kugelmann wies darauf hin, dass der Entwurf zu Abgrenzungsschwierigkeiten, weiterer Zersplitterung und zu doppelten beziehungsweise dreifachen Aufsichtszuständigkeiten für einen zusammenhängenden Sachverhalt führen könne.

Der Sachverständige Martin Schmidt-Kessel (Universität Bayreuth, auf Vorschlag der Fraktion CDU/CSU eingeladen) begrüßte hingegen die Bestimmung der BNetzA als zuständige Behörde. Es handele sich um die erfahrenste Behörde im Bereich allgemeiner Vertragsrechtsdurchsetzung. Der Data Act liege klar „auf der Linie des BGB“, sagte Schmidt-Kessel weiter. Er wies zudem darauf, dass neue Geschäftsmodelle grundsätzlich mit Rechtsunsicherheit einhergingen. Bußgeldrechtlich müsse mit Augenmaß vorgegangen werden, betonte er weiter.

Auch Herbert Zech vom Weizenbaum-Institut (auf Vorschlag der SPD-Fraktion) betonte, das Durchführungsgesetz dürfe nicht zu einer weiteren Fragmentierung der Datenschutzaufsicht führen. Das Ziel einer einheitlichen Anwendung datenschutzrechtlicher Maßstäbe sei ausdrücklich zu begrüßen. Faktisch entstehe jedoch eine zusätzliche, sektorale Datenschutzaufsicht auf Bundesebene. Gleichgelagerte Datenschutzfragen könnten damit, je nach Bezug zum Data Act, unterschiedlich beantwortet werden. Eine tragfähige Lösung liege in der „strukturierten Koordination“. In puncto Sanktionskompetenzen sehe er die objektive Zuständigkeit von zwei Bundesbehörden für die Verfolgung von Ordnungswidrigkeiten kritisch. Hier sei eine klarere Abgrenzung oder ein verbindlicher Koordinierungsmechanismus sinnvoll, sagte Zech.

Der Präsident der Bundesnetzagentur, Klaus Müller, berichtete von positivem Feedback aus dem Markt zum bisherigen Informationsangebot seiner Behörde. Die BNetzA plane bereits Leitlinien, um Unklarheiten zu beseitigen. Ziel sei es, dass Daten möglichst frei fließen können, betonte Müller.

Andreas Hartl (Stellvertreter der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit) verwies darauf, dass eine gute Zusammenarbeit zwischen BNetzA und BfDI entscheidend sein. Der aktuelle Entwurf stelle „eine gute Grundlage“ für eine möglichst gute Durchsetzung. Man tue alles, um schnell vorbereitet zu sein und gut mit den Landesdatenschutzbehörden zusammenzuarbeiten, betonte er.

Die hib-Meldung zum Gesetzentwurf: https://www.bundestag.de/presse/hib/kurzmeldungen-1128820