Digital Business & Future 15.03.2026

9 Min. Lesezeit

Das neue Daten-Governance-Gesetz (DGG) setzt die EU-Verordnung 2022/868 in deutsches Recht um. Wer als Mittelständler jetzt keine Datenstrategie hat, riskiert nicht nur Bußgelder bis 500.000 Euro, sondern verliert den Anschluss an datengetriebene Wertschöpfungsketten. Ein Praxischeck zeigt, wie der Einstieg gelingt.

Was das Daten-Governance-Gesetz konkret regelt

Deutschland hat sich lange Zeit gelassen. Während die EU-Daten-Governance-Verordnung (DGA) bereits seit September 2023 anwendbar ist, liegt das nationale Umsetzungsgesetz erst seit Anfang 2026 als Entwurf vor. Das Daten-Governance-Gesetz regelt drei zentrale Bereiche: die Weiterverwendung geschützter öffentlicher Daten, die Zulassung und Aufsicht von Datenvermittlungsdiensten sowie die Registrierung datenaltruistischer Organisationen.

Für den Mittelstand ist besonders der zweite Punkt relevant. Datenvermittlungsdienste sind Plattformen, die den Austausch von Daten zwischen Unternehmen ermöglichen, ohne selbst ein wirtschaftliches Interesse an den Daten zu haben. Wer solche Dienste betreiben will, braucht künftig eine Anmeldung bei der Bundesnetzagentur. Wer die Regeln ignoriert, zahlt bis zu 500.000 Euro Bußgeld.

Das Statistische Bundesamt übernimmt dabei die Rolle der zentralen Informationsstelle. Es soll öffentliche Stellen beraten, die eigene Datensätze für die Weiterverwendung öffnen wollen. In der Anhörung des Bundestags-Digitalausschusses im Januar 2026 wurde allerdings deutlich: Viele Behörden überlegen inzwischen, ihre Daten gar nicht erst bereitzustellen, weil der Verwaltungsaufwand die Vorteile überwiegt.

Warum Mittelständler betroffen sind, auch wenn sie keinen Datenvermittlungsdienst betreiben

Die häufigste Fehleinschätzung: „Das DGG betrifft uns nicht, wir sind ja keine Datenplattform.“ Richtig ist, dass die direkten Pflichten (Anmeldung, Aufsicht) nur Datenvermittler und datenaltruistische Organisationen treffen. Indirekt verändert das Gesetz aber die Spielregeln für alle, die mit Unternehmensdaten arbeiten.

„Daten-Governance ist kein Bürokratie-Monster. Es ist die Grundlage dafür, dass KI-Projekte nicht an mangelhafter Datenqualität scheitern.“

Boris Otto, Fraunhofer ISST, Dortmund

Konkret: Wer an europäischen Datenräumen (Gaia-X, Catena-X, Manufacturing-X) teilnehmen will, muss nachweisen, dass die eigenen Daten strukturiert, dokumentiert und nach klaren Governance-Regeln verwaltet werden. Kein Datenraum akzeptiert Teilnehmer, die nicht wissen, welche Daten sie haben, wer darauf zugreift und welche Nutzungsrechte gelten.

Hinzu kommt: Das DGG ist nur ein Baustein in einem wachsenden Regulierungsgeflecht. Zusammen mit dem Data Act (ab September 2025 anwendbar), dem AI Act und der DSGVO entsteht ein Compliance-Paket, das ohne systematische Daten-Governance schlicht nicht beherrschbar ist. Wer das Thema einzeln pro Regulierung abarbeitet, verzettelt sich. Wer eine übergreifende Datenstruktur hat, löst die meisten Anforderungen auf einen Schlag.

Der Praxisfall: Wie ein Fertigungsunternehmen Daten-Governance aufgebaut hat

Ein gutes Beispiel liefert das Vorgehen der Siemens AG im Bereich Manufacturing-X. Siemens hat für seine Fertigungssparte einen zentralen Datenkatalog eingeführt, in dem jeder Datensatz mit Metadaten versehen wird: Herkunft, Aktualisierungsfreqünz, Verantwortlicher, Klassifizierung (öffentlich, intern, vertraulich). Das ist kein Millionenprojekt. Siemens nutzt dafür ein Open-Source-Tool (DataHub von LinkedIn/Acryl Data), das auch Mittelständler ohne Enterprise-Budget einsetzen können.

Der entscheidende Punkt: Der Datenkatalog war nicht das Ziel, sondern der Startpunkt. Erst nachdem sichtbar wurde, welche Daten überhaupt existieren, konnten Governance-Regeln definiert werden. Vorher war „Daten-Governance“ eine Absichtserklärung auf PowerPoint-Folien.

Die Gegenposition: Governance als Bremse

Nicht alle Sachverständigen sehen das DGG positiv. In der Bundestagsanhörung kritisierten Experten, dass „die Verordnung in vielen Facetten genau das Gegenteil erreicht“ habe. Statt Daten zugänglicher zu machen, führe der Verwaltungsaufwand dazu, dass öffentliche Stellen ihre Datensätze lieber unter Verschluss halten.

Auch für Mittelständler ist das ein reales Risiko. Wer Governance zu bürokratisch aufsetzt, wer für jeden Datenzugriff drei Genehmigungsstufen einbaut, bremst seine eigenen Teams aus. Die Kunst liegt darin, Governance so schlank wie möglich zu gestalten: klare Rollen, einfache Klassifizierung, automatisierte Zugriffskontrolle. Alles darüber hinaus erzeugt Reibung, die im Mittelstand mit seinen flachen Hierarchien besonders schädlich ist.

Die Zahl spricht für sich: EU-weit haben sich bisher genau drei Organisationen als datenaltruistisch registriert. Drei. In der gesamten EU. Das zeigt, wie gering die praktische Wirkung des DGA bislang ist. Kritiker folgern daraus, dass die Regulierung an der Realität vorbeigehe. Befürworter argumentieren, dass gerade deshalb das nationale Umsetzungsgesetz praxisnähere Anreize schaffen müsse.

Fünf Schritte zum Einstieg: Daten-Governance im Mittelstand aufbauen

Der häufigste Fehler: zu groß denken. Wer gleich mit einer unternehmensweiten Data-Governance-Plattform startet, scheitert an Komplexität und Budget. Besser:

● Schritt 1: Datenkataster erstellen. Alle Systeme auflisten, die personenbezogene, geschäftskritische oder regulierte Daten verarbeiten. ERP, CRM, Fileserver, Cloud-Dienste. Keine Vollständigkeit anstreben, sondern die Top-20-Systeme erfassen. Das dauert zwei bis drei Wochen, nicht Monate.

● Schritt 2: Verantwortlichkeiten zuweisen. Für jeden Datensatz im Kataster einen Data Owner benennen. Das ist die Person, die entscheidet, wer auf die Daten zugreifen darf und welche Qualitätsanforderungen gelten. Keine neue Stelle, sondern eine Zusatzrolle für bestehende Führungskräfte.

● Schritt 3: Klassifizierung einführen. Drei Stufen genügen: Öffentlich, Intern, Vertraulich. Jedes neue Dokument, jeder neue Datensatz bekommt bei der Erstellung eine Stufe. Bestehende Daten werden schrittweise klassifiziert, beginnend bei den Top-20-Systemen aus Schritt 1.

● Schritt 4: Zugriffskontrolle automatisieren. Rollenbasierte Zugriffsrechte (RBAC) in den wichtigsten Systemen einrichten. Die meisten modernen ERP- und Cloud-Systeme bringen diese Funktion mit. Der Aufwand liegt in der Konfiguration, nicht in der Technik.

● Schritt 5: Review-Zyklus etablieren. Alle sechs Monate prüfen: Stimmen die Verantwortlichkeiten noch? Gibt es neue Datenqüllen? Haben sich regulatorische Anforderungen geändert? Ein halber Tag pro Quartal reicht für den Anfang.

Was das für die RegTech-Investitionen 2026 bedeutet

Das DGG trifft auf einen Markt, der ohnehin unter Regulierungsdruck steht. DORA, AI Act, MiCA, NIS2, der Data Act: Mittelständler müssen 2026 mehr Compliance-Anforderungen gleichzeitig erfüllen als je zuvor. Daten-Governance ist dabei kein zusätzliches Projekt, sondern die gemeinsame Basis. Wer weiß, welche Daten wo liegen und wer darauf zugreift, hat 80 Prozent der Compliance-Dokumentation bereits erledigt.

Die Bundesnetzagentur hat nach eigener Aussage bereits mit den Vorbereitungen für ihre neue Aufsichtsfunktion begonnen. Sobald das Gesetz verabschiedet ist, werden die Pflichten sofort scharf. Mittelständler, die bis dahin kein Datenkataster haben, starten mit einem Rückstand, den sie unter Zeitdruck aufholen müssen. Das wird teuer und hektisch.

Der pragmatische Weg: Jetzt mit den fünf Schritten anfangen, bevor das Gesetz in Kraft tritt. Die Investition ist überschaubar (ein interner Projektleiter, zwei bis drei Monate für das Grundgerüst), der Nutzen geht weit über das DGG hinaus. Denn eine saubere Datenstruktur macht nicht nur compliant. Sie macht schneller, weil Entscheidungen auf validen Daten statt auf Bauchgefühl basieren.

Häufige Fragen

Was ist das Daten-Governance-Gesetz (DGG)?

Das DGG ist das deutsche Umsetzungsgesetz zur EU-Daten-Governance-Verordnung (DGA, EU 2022/868). Es regelt die Weiterverwendung geschützter öffentlicher Daten, die Aufsicht über Datenvermittlungsdienste und die Registrierung datenaltruistischer Organisationen. Die Bundesnetzagentur wird zur zentralen Aufsichtsbehörde.

Müssen Mittelständler sich registrieren?

Nur wenn sie einen Datenvermittlungsdienst betreiben oder als datenaltruistische Organisation agieren. Indirekt betrifft das Gesetz aber alle Unternehmen, die an europäischen Datenräumen (Gaia-X, Catena-X, Manufacturing-X) teilnehmen oder mit öffentlichen Datensätzen arbeiten wollen.

Wie hoch sind die Bußgelder bei Verstößen?

Der Gesetzentwurf sieht Geldbußen bis zu 500.000 Euro pro Verstoß vor. Das betrifft insbesondere Datenvermittlungsdienste, die ihre Anmeldepflicht missachten oder gegen die Neutralitätsanforderungen verstoßen.

Welche Tools eignen sich für den Einstieg in Daten-Governance?

Open-Source-Lösungen wie DataHub (LinkedIn/Acryl Data) oder Apache Atlas bieten einen kostengünstigen Einstieg für den Aufbau eines Datenkatalogs. Für die Zugriffskontrolle reichen in vielen Fällen die eingebauten RBAC-Funktionen moderner ERP- und Cloud-Systeme.

Wie hängt das DGG mit dem Data Act zusammen?

Beide Gesetze sind Teil der EU-Datenstrategie. Der Data Act regelt den Zugang zu maschinengenerierten Daten (z.B. IoT-Daten) und Vertragsklauseln für Cloud-Wechsel. Das DGG schafft die Infrastruktur für vertraünswürdigen Datenaustausch. Zusammen bilden sie das Fundament für den europäischen Datenraum.

Weiterführende Lektüre

• DORA, AI Act, MiCA gleichzeitig: Warum RegTech 2026 zur Pflichtinvestition wird
• Kubernetes Cluster-Governance im Mittelstand (cloudmagazin)
• Digitale Souveränität 2026: Was CIOs über Delos Cloud, Gaia-X und den EU Data Act wissen müssen (Digital Chiefs)

Mehr aus dem MBF Media Netzwerk

• → Kubernetes Cluster-Governance im Mittelstand (cloudmagazin)
• → CIO-Agenda 2026 (Digital Chiefs)

Quelle Titelbild: Pexels / Mike van Schoonderwalt