Der Data Act als ein Baustein der europäischen Datenstrategie wurde bereits im vergangenen Jahr durch den Rat der Europäischen Union verabschiedet und ist zum 11. Januar 2024 in Kraft getreten. Ähnlich wie beispielsweise bereits bei der DS-GVO gilt zunächst eine Übergangsfrist, sodass der Data Act erst ab dem 12. September 2025 vollumfänglich anzuwenden sein wird. Der Data Act enthält dabei insbesondere Vorschriften bezüglich der Weitergabe von Daten von Unternehmen an Verbraucher sowie zwischen Unternehmen und scheint damit auf dem ersten Blick im Widerspruch mit der DS-GVO zu stehen. Doch ist dem wirklich so?
Ziele des Data Acts
Die Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828 – kurz Data Act oder Datenverordnung (auch Datengesetz) zielt auf eine bessere Nutzung von Daten als Wirtschaftsgut sowie auf eine Förderung eines wettbewerbsfähigen Datenmarktes hin. Nutzerinnen und Nutzer von vernetzten Geräten und Produkten sollen darüber entscheiden können, wie mit dem gewonnenen Daten umzugehen ist, an deren Entstehung sie maßgeblich mitgewirkt haben.
Der Data Act betrifft demnach vor allem Hersteller von vernetzten Produkten (Art. 2 Nr. 5 Data Act) wie zum Beispiel IoT-Geräte sowie Anbieter verbundener Dienste (Art. 2 Nr. 6 Data Act) wie zum Beispiel Anwendungen zu smarten Geräten wie Fitness-Uhren.
Eine zentrale Pflicht ergibt sich aus Art. 3 Abs. 1 des Data Acts, wonach vernetzte Produkte und verbundene Dienste so konzipiert und hergestellt bzw. erbracht werden, dass die Produktdaten und verbundenen Dienstdaten – einschließlich der für die Auslegung und Nutzung dieser Daten erforderlichen relevanten Metadaten – standardmäßig für den Nutzer einfach, sicher, unentgeltlich in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format und, soweit relevant und technisch durchführbar, direkt zugänglich sind. Nach Art. 5 Abs. 1 des Data Acts sind diese Daten auf Verlangen des Nutzers oder der Nutzerin einem Dritten zur Verfügung zu stellen.
Die Regelungen des Data Acts umfassen sowohl personenbezogene als auch nicht-personenbezogene Daten und sollen mit einem derart umfassenden Anwendungsbereich den Nutzerinnen und Nutzern insbesondere vereinfachte Wechselmöglichkeiten zwischen Diensten bieten. Damit stellt sich jedoch zeitgleich die Frage, inwiefern die Regelungen des Data Acts möglicherweise im Widerspruch zu denen der DS-GVO stehen.
Steht der Data Act im Widerspruch zur DS-GVO?
Mit einem Blick auf Erwägungsgrund 7 zum Data Act wird schnell deutlich: Die Regelungen der DS-GVO bleiben durch den Data Act unberührt und beide Rechtsakte sind unabhängig voneinander anzuwenden: „Die vorliegende Verordnung ergänzt das Unionsrecht zum Schutz personenbezogener Daten und zum Schutz der Privatsphäre, insbesondere die Verordnungen (EU) 2016/679 [DS-GVO, Anm. d. Autors] […], und lässt es unberührt. Keine Bestimmung dieser Verordnung sollte dahingehend angewandt oder ausgelegt werden, dass das Recht auf den Schutz personenbezogener […] abgeschwächt oder eingeschränkt wird.“
Zudem ist Erwägungsgrund 7 zum Data Act zu entnehmen, dass Verarbeitungen personenbezogener Daten zur Umsetzung der Anforderungen aus dem Data Act einer Rechtsgrundlage nach Art. 6 Abs. 1 DS-GVO und gegebenenfalls nach Art. 9 Abs. 2 DS-GVO erfordern. Hierbei ist jedoch zu beachten, dass der Data Act als solcher selbst keine Rechtsgrundlage zur Verarbeitung personenbezogener Daten darstellt. Für den Fall, dass ein Nutzer im Sinne des Data Acts von einer betroffenen Person im Sinne der DS-GVO abweicht, schlägt Erwägungsgrund 7 zum Data Act die Anonymisierung personenbezogener Daten vor.
Auch in den weiteren Erwägungsgründen und Artikeln des Data Acts wird auf die Regelungen der DS-GVO verwiesen und auf deren uneingeschränkte Geltung hingewiesen. So zum Beispiel in Erwägungsgrund 8 mit Verweis auf die Grundsätze der Datenminimierung und des Datenschutzes durch Technikgestaltung, in Art. 5 Abs. 8 bezüglich der Rechte betroffener Personen oder in Art. 6 Abs. 2 lit. b) hinsichtlich der Regelungen zu Profiling. Im Übrigen sind die Datenschutz-Aufsichtsbehörden gemäß Art. 37 Abs. 3 des Data Acts auch hinsichtlich des Schutzes personenbezogener Daten im Anwendungsbereich des Data Acts zuständig. Die Regelungen der DS-GVO in Kapitel VI und in Kapitel VII finden sinngemäß Anwendung. Gemäß Art. 40 Abs. 4 des Data Acts gilt dies ebenfalls für den anzulegenden Bußgeldrahmen.
Fazit
Die Regelungen des Data Acts zeigen deutlich auf, dass durch die Datenstrategie der Europäischen Union in keinem Fall eine Einschränkung des Rechts auf informationelle Selbstbestimmung erfolgen soll. Die Normen der DS-GVO finden auch in Umsetzung der Anforderungen des Data Acts uneingeschränkte Anwendung. Für Unternehmen, die in den Anwendungsbereich des Data Acts fallen, kann hierbei ein nicht zu vernachlässigendes Spannungsfeld entstehen, das unter anderem gemeinsam mit dem Datenschutzbeauftragten erörtert werden sollte. Der Zeitraum bis zum 12. September 2025 sollte in jedem effektiv zur Vorbereitung genutzt werden.
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
