Daten-Governance-Rechtsakt (DGA) — Verordnung (EU) 2022/868

Muss ich meinen Datenvermittlungsdienst bei einer Behörde anmelden, bevor ich in der EU Daten zwischen Unternehmen vermitteln darf?

Wer in der EU gewerblich Daten zwischen Dateninhabern und Datennutzern vermittelt, muss sich seit dem 24. September 2023 bei der zuständigen nationalen Behörde anmelden — bei Verstößen drohen Geldstrafen, Aussetzung oder Einstellung des Dienstes durch die Aufsichtsbehörde [Art. 11, Art. 14 Abs. 4].

Kurzantwort

Der Daten-Governance-Rechtsakt (DGA) schafft einen unionsweiten Rahmen für die Weiterverwendung geschützter Daten öffentlicher Stellen [Art. 3–9], ein Anmelde- und Aufsichtsregime für Datenvermittlungsdienste [Art. 10–15] und ein freiwilliges Eintragungsverfahren für datenaltruistische Organisationen [Art. 16–25]. Datenvermittler dürfen die vermittelten Daten nicht für eigene Zwecke nutzen und müssen den Dienst über eine gesonderte juristische Person erbringen [Art. 12 lit. a]. Anbieter, die bereits vor dem 23. Juni 2022 tätig waren, hatten eine Übergangsfrist bis zum 24. September 2025 zur vollständigen Einhaltung der Kapitel-III-Pflichten [Art. 37].

Betroffen

Betroffen sind Anbieter von Datenvermittlungsdiensten, die gewerblich Geschäftsbeziehungen zwischen Dateninhabern und Datennutzern herstellen [Art. 2 Nr. 11, Art. 10]; öffentliche Stellen, die geschützte Daten (personenbezogene Daten, Geschäftsgeheimnisse, geistiges Eigentum, statistische Vertraulichkeit) zur Weiterverwendung freigeben [Art. 3 Abs. 1]; sowie Einrichtungen ohne Erwerbszweck, die Daten auf Basis von Datenaltruismus erheben und sich als anerkannte datenaltruistische Organisation eintragen lassen wollen [Art. 18].

Frist

Die Verordnung gilt seit dem 24. September 2023 [Art. 38]. Die Übergangsfrist für Bestandsanbieter von Datenvermittlungsdiensten lief am 24. September 2025 ab [Art. 37]. Laufende Pflicht: Jede Änderung der Anmeldedaten muss innerhalb von 14 Tagen gemeldet werden [Art. 11 Abs. 12].

Risiko

Die Verordnung enthält keinen festen Bußgeldrahmen — die Mitgliedstaaten legen die Sanktionen national fest; diese müssen wirksam, verhältnismäßig und abschreckend sein [Art. 34 Abs. 1]. Die Aufsichtsbehörde kann jedoch direkt Geldstrafen (einschließlich Zwangsgelder) verhängen, den Beginn des Dienstes verschieben oder aussetzten oder die Einstellung des Dienstes anordnen [Art. 14 Abs. 4]. Datenaltruistische Organisationen verlieren bei Verstoß die Anerkennung und werden aus dem EU-Register gestrichen [Art. 24 Abs. 5].

Belege

Rechtsstand

• In Kraft
• Stand 2026-04-18
• konsolidierte Fassung vom 03.06.2022

Primärquellen

• EUR-Lex — Volltext
• BMWK — Datenwirtschaft — Nationale DE-Datenstrategie

Was jetzt zu tun ist

Legal / DPO

•Prüfen Sie, ob Ihr Geschäftsmodell unter die Definition des Datenvermittlungsdienstes fällt [Art. 2 Nr. 11] und ob eine der Ausnahmen (geschlossene Gruppe, urheberrechtliche Vermittlung, Aggregation ohne Geschäftsbeziehung) greift.
•Stellen Sie sicher, dass der Datenvermittlungsdienst über eine gesonderte juristische Person erbracht wird und keine Eigennutzung der vermittelten Daten erfolgt [Art. 12 lit. a].
•Bewerten Sie die vertraglichen Anforderungen für Drittlandübertragungen nicht personenbezogener Daten und implementieren Sie die in Art. 5 Abs. 10 und Art. 31 vorgesehenen Schutzmechanismen.

Compliance

•Führen Sie die Anmeldung bei der zuständigen nationalen Behörde gemäß Art. 11 durch und halten Sie die Angaben (Name, Rechtsform, Dienstbeschreibung) aktuell — Änderungen müssen binnen 14 Tagen gemeldet werden [Art. 11 Abs. 12].
•Implementieren Sie ein Protokoll über die Datenvermittlungstätigkeit [Art. 12 lit. o] und dokumentieren Sie die Einhaltung der Neutralitätspflichten (keine Kopplung, faire Preisgestaltung) [Art. 12 lit. b, f].
•Richten Sie ein Insolvenz-Kontinuitätskonzept ein, das Dateninhabern und Datennutzern auch bei Einstellung des Dienstes Zugang zu ihren Daten sichert [Art. 12 lit. h].

IT / Security

•Gewährleisten Sie ein angemessenes Sicherheitsniveau bei Speicherung, Verarbeitung und Übermittlung nicht personenbezogener Daten und das höchste Sicherheitsniveau für sensible wettbewerbsrelevante Informationen [Art. 12 lit. l].
•Implementieren Sie technische Maßnahmen zur Verhinderung rechtswidriger Datenübertragungen in Drittländer und zur unverzüglichen Meldung unbefugter Zugriffe an Dateninhaber [Art. 12 lit. j, k].
•Stellen Sie bei Weiterverwendung geschützter öffentlicher Daten sichere Verarbeitungsumgebungen bereit, die alle Verarbeitungsvorgänge (Anzeige, Speicherung, Export) kontrollierbar machen [Art. 2 Nr. 20, Art. 5 Abs. 3].

Product / Engineering

•Planen Sie Interoperabilitäts-Schnittstellen, die den Datenaustausch im Ursprungsformat ermöglichen und Formatumwandlungen nur auf Verlangen oder zur sektorübergreifenden Harmonisierung vornehmen — mit Opt-out-Option für Dateninhaber [Art. 12 lit. d].
•Integrieren Sie Werkzeuge zur Einholung und zum Widerruf von Einwilligungen betroffener Personen sowie Erlaubnissen von Dateninhabern, einschließlich Angabe des Verarbeitungshoheitsgebiets bei Drittlandnutzung [Art. 12 lit. n].
•Entwickeln Sie ein Betrugspräventionsverfahren für den Zugang über den Datenvermittlungsdienst [Art. 12 lit. g] und stellen Sie transparente, nichtdiskriminierende Zugangs- und Preisbedingungen sicher [Art. 12 lit. f].

Wichtige Begriffe

Datenvermittlungsdienst: Dienst, der durch technische, rechtliche oder sonstige Mittel Geschäftsbeziehungen zwischen Dateninhabern und Datennutzern herstellt, um die gemeinsame Datennutzung zu ermöglichen [Art. 2 Nr. 11].
Datenaltruismus: Freiwillige, unentgeltliche Bereitstellung personenbezogener oder nicht personenbezogener Daten für Ziele von allgemeinem Interesse wie Gesundheit, Klimaschutz oder Forschung [Art. 2 Nr. 16].
Dateninhaber: Juristische oder natürliche Person, die nach geltendem Recht berechtigt ist, Zugang zu bestimmten Daten zu gewähren oder diese weiterzugeben [Art. 2 Nr. 8].
Datennutzer: Natürliche oder juristische Person, die rechtmäßig Zugang zu bestimmten Daten hat und diese für kommerzielle oder nichtkommerzielle Zwecke nutzen darf [Art. 2 Nr. 9].
Sichere Verarbeitungsumgebung: Physische oder virtuelle Umgebung mit organisatorischen Mitteln, die es ermöglicht, alle Datenverarbeitungsvorgänge zu bestimmen und zu beaufsichtigen und dabei Datenschutz, geistiges Eigentum und Vertraulichkeit zu wahren [Art. 2 Nr. 20].
Weiterverwendung: Nutzung von Daten im Besitz öffentlicher Stellen durch natürliche oder juristische Personen für Zwecke, die sich vom ursprünglichen öffentlichen Auftrag unterscheiden [Art. 2 Nr. 2].
Gemeinsame Datennutzung: Entgeltliche oder unentgeltliche Bereitstellung von Daten an einen Datennutzer auf der Grundlage freiwilliger Vereinbarungen oder rechtlicher Grundlagen, direkt oder über einen Mittler [Art. 2 Nr. 10].

Häufige Fragen

Was ist ein Datenvermittlungsdienst im Sinne des DGA?

Ein Datenvermittlungsdienst stellt durch technische, rechtliche oder sonstige Mittel Geschäftsbeziehungen zwischen Dateninhabern und Datennutzern her, um die gemeinsame Datennutzung zu ermöglichen [Art. 2 Nr. 11]. Ausgenommen sind unter anderem Dienste, die Daten aggregieren und anreichern, ohne eine Geschäftsbeziehung herzustellen, sowie Dienste in geschlossenen Gruppen [Art. 2 Nr. 11 lit. a–d].

Wie läuft das Anmeldeverfahren für Datenvermittler ab?

Der Anbieter meldet sich bei der national zuständigen Behörde an und kann sofort nach Anmeldung die Tätigkeit aufnehmen [Art. 11 Abs. 4]. Die Behörde stellt auf Antrag innerhalb einer Woche eine Bestätigung aus [Art. 11 Abs. 8]. Die Anmeldung gilt EU-weit [Art. 11 Abs. 5].

Was ist Datenaltruismus und wie kann sich eine Organisation eintragen lassen?

Datenaltruismus ist die freiwillige, unentgeltliche Bereitstellung von Daten für Ziele von allgemeinem Interesse wie Gesundheitsversorgung, Klimaschutz oder wissenschaftliche Forschung [Art. 2 Nr. 16]. Einrichtungen ohne Erwerbszweck können sich im nationalen Register eintragen lassen, wenn sie die Anforderungen des Art. 18 erfüllen; die Registrierung erfolgt binnen 12 Wochen und gilt EU-weit [Art. 19 Abs. 5].

Welche Daten öffentlicher Stellen dürfen nach dem DGA weiterverwendet werden?

Kapitel II erfasst Daten im Besitz öffentlicher Stellen, die aus Gründen der geschäftlichen Geheimhaltung, der statistischen Geheimhaltung, des Schutzes geistigen Eigentums Dritter oder des Datenschutzes geschützt sind — sofern sie nicht unter die Open-Data-Richtlinie (EU) 2019/1024 fallen [Art. 3 Abs. 1]. Ausgenommen sind Daten öffentlicher Unternehmen, Rundfunkanstalten und Kultureinrichtungen [Art. 3 Abs. 2].

Welche Sanktionen drohen bei Verstößen gegen den DGA?

Die Mitgliedstaaten legen die Sanktionen national fest; sie müssen wirksam, verhältnismäßig und abschreckend sein [Art. 34 Abs. 1]. Die Aufsichtsbehörde kann Geldstrafen einschließlich Zwangsgelder verhängen, den Dienst aussetzen oder die Einstellung anordnen [Art. 14 Abs. 4]. Bei der Bemessung werden unter anderem Art, Schwere, Dauer des Verstoßes und finanzielle Vorteile berücksichtigt [Art. 34 Abs. 2].

Gilt der DGA auch für Anbieter außerhalb der EU?

Ja. Anbieter von Datenvermittlungsdiensten, die nicht in der EU niedergelassen sind, aber Dienste in der EU anbieten, müssen einen gesetzlichen Vertreter in einem Mitgliedstaat benennen [Art. 11 Abs. 3]. Gleiches gilt für datenaltruistische Organisationen [Art. 19 Abs. 3].

Was ist der Europäische Dateninnovationsrat?

Der Europäische Dateninnovationsrat ist eine von der Kommission eingesetzte Expertengruppe aus Vertretern der zuständigen Behörden aller Mitgliedstaaten, des EDSA, des EDSB und der ENISA [Art. 29 Abs. 1]. Er berät die Kommission zu einheitlicher Praxis, Interoperabilitätsnormen und gemeinsamen europäischen Datenräumen [Art. 30].

Werkzeuge & Vorlagen

KI-generierte Compliance-Hilfen

Vorschau

Gap-Checks

SOPs

Vorlagen

Entscheidungen

1. Gap-Analyse Checkliste

Wenn Sie Datenvermittlungsdienste anbieten: Haben Sie eine formelle Anmeldung bei der zuständigen nationalen Behörde vorgenommen?

Art. 11 Abs. 1|Datenvermittlungsdienste (Anmeldung)

Wenn Sie ein Datenvermittlungsdienst sind: Ist der Vermittlungsdienst von allen anderen von Ihnen erbrachten Diensten rechtlich getrennt?

Art. 12 lit. a|Datenvermittlungsdienste (Betrieb)

Wenn Sie ein Datenvermittlungsdienst sind: Nutzen Sie die vermittelten Daten ausschließlich zur Bereitstellung für Datennutzer und nicht für eigene andere Zwecke?

Art. 12 lit. a|Datenvermittlungsdienste (Betrieb)

2. SOP-Vorlagen

SOP: Anmeldung als DatenvermittlungsdienstArt. 11

Zweck: Diese SOP stellt ein konformes Verfahren zur Anmeldung eines Datenvermittlungsdienstes bei der zuständigen nationalen Behörde gemäß dem Daten-Governance-Rechtsakt sicher.

Geltungsbereich: Diese SOP gilt für alle Geschäftseinheiten, die beabsichtigen, einen Datenvermittlungsdienst im Sinne von Art. 10 DGA in der EU anzubieten.

Schritte:

1
Identifizierung der zuständigen Behörde: Ermitteln Sie die für Datenvermittlungsdienste zuständige Behörde im Mitgliedstaat der Hauptniederlassung. Für Nicht-EU-Anbieter ist dies der Mitgliedstaat des benannten gesetzlichen Vertreters.
Verantwortlich: Compliance Officer / Rechtsabteilung | Output: Name und Kontaktdaten der zuständigen Behörde.
2
Zusammenstellung der Anmeldeinformationen gemäß Art. 11 Abs. 6: Sammeln Sie alle erforderlichen Informationen, u.a. Name, Rechtsstatus, Eigentümerstruktur, Anschrift, öffentliche Website, Kontaktperson, Beschreibung des Dienstes und voraussichtlicher Starttermin.
Verantwortlich: Projektleitung / Management | Output: Vollständiges Dossier mit allen Anmeldeinformationen.
3
Einreichung der Anmeldung: Reichen Sie die Anmeldung bei der zuständigen Behörde über die von ihr bereitgestellten Kanäle ein (oft über das 'Einheitliche Digitale Zugangstor').
Verantwortlich: Compliance Officer | Output: Eingangsbestätigung der Anmeldung.
4
Erhalt der Bestätigung und Aufnahme der Tätigkeit: Nach Einreichung kann die Tätigkeit aufgenommen werden. Fordern Sie optional eine standardisierte Erklärung an, die die Anmeldung bestätigt (Art. 11 Abs. 8).
Verantwortlich: Compliance Officer | Output: Bestätigung der Anmeldung; Beginn des operativen Dienstes.
5
Pflege der Anmeldung: Richten Sie einen Prozess ein, um sicherzustellen, dass jede Änderung der Anmeldeinformationen innerhalb von 14 Tagen an die Behörde gemeldet wird (Art. 11 Abs. 12).
Verantwortlich: Compliance Officer | Output: Prozess zur laufenden Aktualisierung der Anmeldung implementiert.

Prüffrequenz: Jährlich sowie bei jeder Änderung der Anmeldeinformationen.

3. Textbausteine

Vertragsklausel für die Weiterverwendung nicht-personenbezogener Daten in DrittländernArt. 5 Abs. 10

Anwendungsfall: Zur Aufnahme in Verträge mit Weiterverwendern, die beabsichtigen, von einer öffentlichen Stelle erhaltene nicht-personenbezogene vertrauliche Daten oder durch geistiges Eigentum geschützte Daten in ein Drittland ohne Angemessenheitsbeschluss (gem. Art. 5 Abs. 12) zu übertragen.

Der Weiterverwender, [Name des Weiterverwenders], verpflichtet sich hiermit, auch nach der Übertragung der erhaltenen Daten in [Name des Drittlandes] die Verpflichtungen zum Schutz des geistigen Eigentums (gemäß Art. 5 Abs. 7 DGA) und zur Wahrung der geschäftlichen und statistischen Geheimhaltung (gemäß Art. 5 Abs. 8 DGA) vollumfänglich zu erfüllen. Für alle Streitigkeiten im Zusammenhang mit der Einhaltung dieser Verpflichtungen erkennt der Weiterverwender die ausschließliche Zuständigkeit der Gerichte von [Mitgliedstaat der übermittelnden öffentlichen Stelle] an. --- *Hinweis: Diese Klausel ist eine Mindestanforderung. Sie sollte durch weitere spezifische Schutzmaßnahmen ergänzt werden. Dies stellt keine Rechtsberatung dar.*

Platzhalter: Name des Weiterverwenders, Name des Drittlandes, Mitgliedstaat der übermittelnden öffentlichen Stelle

+8 Gap-Checks, 1 SOPs, 2 Vorlagen warten auf Sie

7 Tage kostenlos testen

KI-generierte Compliance-Hilfen. Keine Rechtsberatung. Bitte mit Rechtsabteilung abstimmen.