Data Act Zuständigkeit Deutschland: Bundesnetzagentur oder BfDI?
Das deutsche Data Act Durchführungsgesetz ist in Kraft. Das Gesetz wurde am 29. Mai 2026 im Bundesgesetzblatt verkündet und gilt seit dem 30. Mai 2026.
In der Berichterstattung zum DADG tauchen zwei Behörden auf: die Bundesnetzagentur und der BfDI. Für Unternehmen stellt sich damit eine naheliegende Frage: Wer ist bei einem Data-Act-Thema in Deutschland eigentlich der richtige Ansprechpartner?
Der scheinbare Widerspruch löst sich schnell auf. Der Data Act erlaubt ausdrücklich mehrere zuständige Behörden. Deutschland hat nun ein Modell geschaffen, in dem die Bundesnetzagentur die zentrale Behörde für die Anwendung und Durchsetzung großer Teile des Data Act ist. Der BfDI ist zuständig, soweit es bei der Anwendung des Data Act um den Schutz personenbezogener Daten geht.
Die kurze Antwort: Es kommt auf die Art der Frage an
Für die Praxis ist weniger die Behördenbezeichnung entscheidend als die Art des Problems.
Für die meisten operativen Data-Act-Fragen in Deutschland sollten Unternehmen zunächst die Bundesnetzagentur als zentrale Anlaufstelle betrachten.
Das gilt insbesondere für Beschwerden über fehlenden Datenzugang, verweigerte Datenbereitstellung, Datenteilung mit Dritten, Wechsel von Datenverarbeitungsdiensten und viele Verfahrensfragen nach dem DADG.
Sobald es um den Schutz personenbezogener Daten geht, kommt die Rolle des BfDI beim Data Act hinzu. Nach dem DADG ist der BfDI für nicht-öffentliche Stellen die zuständige Datenschutzaufsichtsbehörde für die Überwachung der Anwendung des Data Act hinsichtlich des Schutzes personenbezogener Daten.
Praktisch lässt sich die Abgrenzung so lesen:
- Datenzugang, Datenteilung und allgemeine Durchsetzung nach dem Data Act: in der Regel Bundesnetzagentur.
- Data-Act-Verfahren mit Prüfung personenbezogener Daten: Beteiligung oder Zuständigkeit des BfDI für die Datenschutzfrage.
- Reine DSGVO-Frage außerhalb des Data Act: normale Datenschutzaufsicht.
- Sektorale Sonderfrage: zusätzlich kann eine Fachbehörde relevant werden.
Die sinnvolle Frage lautet daher nicht "Bundesnetzagentur vs. BfDI Data Act". Sinnvoller ist: Um welche Art von Problem geht es?
Gerade Data-Act-Fälle können mehrere Ebenen gleichzeitig berühren. Ein Zugangsverlangen zu Maschinendaten kann nicht personenbezogene Produktdaten, personenbezogene Daten von Beschäftigten, Geschäftsgeheimnisse, API-Sicherheit, Vertragsfragen und Cloud-Wechsel betreffen. Der richtige Ansprechpartner folgt deshalb der konkreten Prüffrage.
Warum die Bundesnetzagentur meist der erste Anlaufpunkt ist
§ 2 DADG benennt die Bundesnetzagentur als zuständige Behörde für die Anwendung und Durchsetzung der Datenverordnung, also des EU Data Act.
Das Gesetz macht die Bundesnetzagentur außerdem zur zentralen Anlaufstelle für Fragen der Durchführung. Dazu gehören die Information der Öffentlichkeit, die Bearbeitung allgemeiner und besonderer Beschwerden, die nationale Aufsicht, die Zulassung von Streitbeilegungsstellen und die Prüfung bestimmter Datenverlangen öffentlicher Stellen nach Kapitel V des Data Act.
Die Bundesnetzagentur Data Act Zuständigkeit ist damit breit angelegt. Die Behörde kann Beschwerden nach Artikel 38 Data Act bearbeiten, Ermittlungen führen, Auskünfte verlangen und Maßnahmen zur Einhaltung der Pflichten anordnen.
Für Unternehmen erklärt das, warum die Aussage "Bundesnetzagentur Data Act Behörde" im Grundsatz zutrifft. Wenn ein Nutzer keinen Zugang zu Produktdaten erhält, ein Dateninhaber Daten verweigert oder ein Cloud-Anbieter den Wechsel erschwert, wird in Deutschland regelmäßig die Bundesnetzagentur die relevante Data Act Aufsichtsbehörde sein.
Wann der BfDI ins Verfahren kommt
Die Rolle des BfDI ist enger, aber keineswegs nebensächlich.
Artikel 37 Data Act bestimmt, dass die Datenschutzaufsichtsbehörden für die Überwachung der Anwendung des Data Act zuständig sind, soweit es um den Schutz personenbezogener Daten geht.
Deutschland setzt dies in § 3 DADG um. Für nicht-öffentliche Stellen ist der BfDI die zuständige Datenschutzaufsichtsbehörde für die Anwendung des Data Act im Hinblick auf den Schutz personenbezogener Daten.
Das DADG regelt auch die Zusammenarbeit zwischen Bundesnetzagentur und BfDI. Wenn die Bundesnetzagentur feststellt, dass ihre Entscheidung eine Prüfung der Rechtmäßigkeit der Verarbeitung personenbezogener Daten erfordert, muss sie den BfDI beteiligen. An das Ergebnis dieser datenschutzrechtlichen Prüfung ist die Bundesnetzagentur gebunden.
Der BfDI ist also keine konkurrierende allgemeine Data-Act-Behörde. Er übernimmt eine spezifische Aufsichtsfunktion für personenbezogene Daten innerhalb von Data-Act-Fällen.
Die Grundlage für geteilte Zuständigkeit
Artikel 37 ist die zentrale Vorschrift hinter der scheinbaren Doppelzuständigkeit.
Erstens dürfen Mitgliedstaaten eine oder mehrere zuständige Behörden benennen. Ein Modell mit nur einer Behörde ist möglich, aber nicht vorgeschrieben.
Zweitens muss ein Mitgliedstaat bei mehreren Behörden für Koordination sorgen. Der Data Act rechnet also ausdrücklich mit geteilter Verantwortung.
Drittens bleiben die Datenschutzaufsichtsbehörden zuständig, soweit die Anwendung des Data Act den Schutz personenbezogener Daten betrifft.
Viertens müssen auch sektorale Zuständigkeiten beachtet werden. Das ist besonders relevant bei Datenverarbeitungsdiensten, Cloud-Switching und Fragen der elektronischen Kommunikation.
Das Ergebnis ist ein gestuftes Aufsichtsmodell. Die Bundesnetzagentur trägt in Deutschland die allgemeine Durchsetzungsarchitektur des Data Act. Der BfDI prüft die Datenschutzfragen, wenn personenbezogene Daten innerhalb eines Data-Act-Verfahrens betroffen sind.
So sieht die Abgrenzung in typischen Fällen aus
Ein Nutzer erhält keinen Zugang zu Maschinendaten
Ein Hersteller vernetzter Maschinen gewährt einem gewerblichen Nutzer keinen Zugang zu den verfügbaren Produktdaten.
Das ist in erster Linie eine Frage des Datenzugangs nach Artikel 3 und 4 Data Act. In Deutschland führt der Beschwerdeweg regelmäßig zur Bundesnetzagentur. Das gilt auch dann, wenn der Dateninhaber Geschäftsgeheimnisse oder Sicherheitsgründe anführt. Diese Einwände können im Data-Act-Verfahren geprüft werden.
Ein Datenzugang enthält personenbezogene Daten
Ein Flottenbetreiber verlangt Fahrzeugdaten. Der Datensatz enthält Standortdaten oder Daten zum Fahrverhalten einzelner Fahrer.
Das Zugangsverlangen bleibt ein Data-Act-Thema. Die personenbezogenen Daten verändern aber die behördliche Zuständigkeit. Die Bundesnetzagentur kann das Gesamtverfahren führen. Der BfDI ist für die Prüfung relevant, ob die Verarbeitung der personenbezogenen Daten rechtmäßig ist.
Der Data Act ersetzt die DSGVO nicht. Ist der Nutzer nicht zugleich die betroffene Person, verlangt Artikel 4 Absatz 12 Data Act eine gültige Rechtsgrundlage nach der DSGVO, bevor personenbezogene Daten bereitgestellt werden dürfen.
Ein Kunde will den Cloud-Anbieter wechseln
Ein Kunde möchte von einem Datenverarbeitungsdienst zu einem anderen wechseln. Der bisherige Anbieter verzögert den Export oder stellt exportierbare Daten nicht im geforderten Format bereit.
Das fällt unter die Data-Act-Regeln zum Wechsel zwischen Datenverarbeitungsdiensten. In Deutschland ist dafür regelmäßig die Bundesnetzagentur zuständig. Der BfDI wird erst relevant, wenn die konkrete Streitfrage eine datenschutzrechtliche Prüfung verlangt, etwa weil personenbezogene Daten im Export enthalten sind und die Rechtmäßigkeit der Verarbeitung streitig ist.
Ein Unternehmen beschwert sich über einen Data Holder
Ein Drittanbieter soll auf Wunsch des Nutzers Daten von einem Dateninhaber erhalten. Der Dateninhaber verweigert die Bereitstellung oder stellt Bedingungen, die der Drittanbieter für unvereinbar mit dem Data Act hält.
Das ist ein typischer Beschwerdefall nach Artikel 38 Data Act. Zuständige Behörde für die Durchsetzung ist in Deutschland regelmäßig die Bundesnetzagentur. Beruht die Weigerung auf personenbezogenen Daten, kann der BfDI für diese Datenschutzfrage einzubeziehen sein.
Was das deutsche DADG an der Durchsetzung ändert
Das DADG ist das nationale Gesetz, das die Durchsetzung des EU Data Act in Deutschland praktisch organisiert.
Die Verabschiedung des deutschen Durchführungsgesetzes haben wir bereits in einem eigenen Beitrag analysiert:
Deutscher Bundestag verabschiedet nationales Data-Act-Gesetz
Dort geht es vor allem darum, warum das DADG den Compliance-Druck für Hersteller, IoT-Anbieter, Cloud-Anbieter und Dateninhaber erhöht.
Was Unternehmen daraus mitnehmen sollten
Der scheinbare Widerspruch zwischen Bundesnetzagentur und BfDI löst sich auf, wenn man die Zuständigkeiten sauber trennt.
Die Bundesnetzagentur ist nach dem DADG die zentrale Behörde für die Anwendung und Durchsetzung des Data Act in Deutschland. Der BfDI ist zuständig, soweit die Anwendung des Data Act den Schutz personenbezogener Daten betrifft, insbesondere bei nicht-öffentlichen Stellen nach § 3 DADG.
Für Unternehmen kommt es deshalb auf die richtige Einordnung an. Fehlender Produktdatenzugang, Datenteilung mit Dritten, Cloud-Switching und allgemeine Beschwerden sprechen regelmäßig für die Bundesnetzagentur. Fragen zur Rechtmäßigkeit personenbezogener Datenverarbeitung führen zur Datenschutzaufsicht, im Data-Act-Kontext also häufig zum BfDI.
FAQ
Ist die Bundesnetzagentur die Data-Act-Behörde in Deutschland?
Ja, für die allgemeine Anwendung und Durchsetzung des Data Act. § 2 DADG benennt die Bundesnetzagentur als zuständige Behörde und zentrale Anlaufstelle in Deutschland.
Welche Rolle spielt der BfDI beim Data Act?
Der BfDI überwacht die Anwendung des Data Act, soweit es um den Schutz personenbezogener Daten geht. Nach § 3 DADG gilt dies für nicht-öffentliche Stellen.
Bei welcher Behörde kann ich Beschwerde einreichen?
Für die meisten Data-Act-Beschwerden in Deutschland ist die Bundesnetzagentur der richtige Ausgangspunkt. Wenn der Kern der Beschwerde den Schutz personenbezogener Daten betrifft, kann der BfDI in die Prüfung einzubeziehen sein oder für diese Datenschutzfrage zuständig sein.
Was passiert, wenn personenbezogene Daten betroffen sind?
Dann gilt der Data Act weiterhin, aber die DSGVO bleibt maßgeblich. Es braucht eine gültige Rechtsgrundlage für die Verarbeitung. Die datenschutzrechtliche Bewertung kann im Data-Act-Verfahren durch den BfDI erfolgen.
Können mehrere Behörden gleichzeitig zuständig sein?
Ja. Artikel 37 Data Act erlaubt mehrere zuständige Behörden und verlangt Zusammenarbeit. Deutschland nutzt dieses Modell, indem die Bundesnetzagentur die allgemeine Durchsetzung übernimmt und der BfDI eine spezifische Rolle für personenbezogene Daten erhält.