Die Hamburger Datenschutzgesellschaft e.V. (HDG) und die Hamburger Handelskammer luden am 15. Mai zum mittlerweile 4. Hamburger Datenschutzforum ein. Die jährliche Veranstaltung stand in diesem Jahr ganz im Zeichen des Data Acts.
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Thomas Fuchs, als auch die weiteren Referenten, Dr. Andreas Sattler (Karlsruher Institut für Technologie) und Prof. Dr. Behrang Raji (Legal Counsel Data Protection bei der Eppendorf Group SE & Co. KG), referierten zu dieser neuen europäischen Verordnung, in deren Anwendungsbereich sowohl personenbezogene Daten als auch nicht-personenbezogene Daten fallen können und die vor allem Hersteller von vernetzten Geräten – wie Fahrzeugen oder modernen Haushaltsgeräten – vor große Herausforderungen stellen kann. Die Moderation übernahmen erneut Rechtsanwalt Dr. Philipp Kramer und Rechtsanwältin Dr. Carolin Monsees.
Wie auch im letzten Jahr eröffnete Herr Christian Graf, Chefjustiziar der Hamburger Handelskammer, die Veranstaltung im eigenen Hause. Datenschutz bewege die Unternehmen immer noch, auch wenn derzeit sicherlich andere Themen die Welt beherrschen, leitete Graf das Event ein. Umso wichtiger und lobenswert sei der enge Austausch zwischen Unternehmen und der Aufsichtsbehörde der Hansestadt. Hier lobte er vor allem die Hamburger Aufsichtsbehörde für die jederzeit gute, aktive Beteiligung.
Rechtsanwalt Dr. Philipp Kramer, Vorstand der HDG, widmete sich in seinem Grußwort zunächst etwas kritisch dem Data Act. So habe er ihn zunächst als ein weiteres umfangreiches „Papier aus Brüssel“ empfunden. Das änderte sich aber. Denn anhand eines privaten Beispiels, einer Datenübertragung zwischen zwei Smartphoneanwendungen, verdeutlichte er, dass die neue Verordnung doch Vorteile in der Praxis mit sich bringen könne.
Ziele des Data Acts
Dr. Andreas Sattler stellte mit seinem sehr fachlichen, gleichwohl aber eingängigen Vortrag den Data Act wie auch eine kurze historische Herleitung vor, ohne dabei den Blick für die Praxis aus den Augen zu verlieren. Die Intention der EU-Kommission hinter dem Data Act sei das „Aufbrechen von Datensilos“. Daten müssen für die Nutzer*innen stets leicht und sicher zugänglich sein – und zwar kontinuierlich, unentgeltlich und in Echtzeit – um daraus Wissen generieren zu können. Denkbar wären Szenarien bei Anwendungen im Gesundheitswesen (z. B. Fitnessuhren) oder bei der Bemessung der Kreditwürdigkeit von Einzelpersonen. Aber auch die Hersteller von Maschinen könnten Daten zu deren Funktions- und Fehleranalyse einsetzen. Die Herausforderung hierbei bestünde zum einen darin, den Zugang zu den Daten herzustellen, welche von Nutzenden abgefragt aber auch an Dritte weitergegeben werden können. Zum anderen sei aber das Spannungsverhältnis zwischen dem Data Act und dem Schutz von personenbezogenen Daten sowie auch den Geschäftsgeheimnissen zu berücksichtigen!
Die DSGVO bleibe (ausweislich des Data Acts) von dem neuen Regelwerk unberührt und hätte bei einer Kollision mit dem Data Act sogar Vorrang. Gleichzeitig würde der Data Act (wohl) keine Rechtsgrundlage für die Verarbeitung personenbezogener Daten im Sinne der DSGVO schaffen. Die naheliegendste Rechtsgrundlage, so Sattler, sei die Einwilligung der betroffenen Personen (insbesondere bei der Betroffenheit von Daten im Sinne des Art. 9 Abs. 1 DSGVO, also z.B. Gesundheitsdaten), wobei auch die Vertragserfüllung und das berechtigte Interesse als Rechtsgrundlagen herangezogen werden könnten. Der Vertrag als Rechtsgrundlage sei jedoch (auch vor dem Hintergrund der EuGH-Rechtsprechung) grundsätzlich eng auszulegen. Bei einer Verarbeitung auf Grundlage von Art. 6 Abs. 1 S. 1 lit. f DSGVO sei zudem zu berücksichtigen, ob die betroffene Person vernünftigerweise erwarten könne, dass eine Datenübermittlung der Nutzerdaten an Dritte erfolge (ErwG 47 DSGVO). In der Regel würde eine betroffene Person hiermit wohl nicht rechnen. Wird die Einwilligung als Rechtsgrundlage herangezogen, sollte die Möglichkeit des Widerrufs nicht außer Acht gelassen werden. Hier sei ein effizientes und möglichst transaktionskostenarmes Einwilligungsmanagement erforderlich.
Abschließend wies Sattler darauf hin, dass die Nutzer*innen grundsätzlich einen Herausgabeanspruch gegenüber Herstellern, Anbietern oder Dateninhabern haben. Letztere sollten sich dessen und auch der Bedeutung und des Wertes ihrer Daten bewusst sein – auch im Kontext des Geschäftsgeheimnisses, da der Ausnahmetatbestand der Verweigerung wohl lediglich bei einem potenziell schweren wirtschaftlichen Schaden für den Dateninhaber greife. Hier blieben noch viele Unklarheiten.
Der Blick aus der Praxis
Es folgte der Vortrag von Prof. Dr. Behrang Raji, Legal Counsel Data Protection bei der Eppendorf Group SE & Co. KG. Der erfahrene Referent skizzierte ebenfalls eine kurze Übersicht zum Data Act. Dieser würde ein Marktdesign für europäische Industriedaten darstellen, wonach Nutz*innen exklusive und eigentumsähnliche Vermarktungsrechte an ihren Daten hätten.
Herstellern hingegen wird damit der vergütungsfreie de-facto-Zugriff auf Produktdaten entzogen, so Raji. Insgesamt würde der Data Act mehr Wettbewerb und Innovation durch die Schaffung eines Zugangs zu nachgelagerten Märkten zugunsten von Wettbewerbern ermöglichen.
Doch zunächst veranschaulichte er anhand eines privaten Vorfalls, nämlich seiner defekten Spülmaschine, die möglichen zukünftigen Anwendungsfelder des Data Acts. Die Verordnung betreffe in erster Linie vernetzte Produkte, wobei die Frage aufgestellt wurde, ob damit solche Produkte mit Internetzugang oder auch nur mit einem internen Zugang gemeint sind. Nicht erfasst von dieser Verordnung seien jedenfalls wohl Server oder Router.
Hinsichtlich des Data Acts würden sich produzierende Unternehmen verschiedenste Fragen stellen müssen: Welche Produkte fallen überhaupt unter den Anwendungsbereich des Data Acts? Muss man einen Zugang zu den Daten auf dem Produkt ermöglichen? Wie müssten Geräte dann zukünftig gebaut werden? Was ist bei der Gestaltung des Produkts zu beachten? Und gibt es Ausschlusskriterien für die Bereitstellung von Daten, z. B. den Datenschutz? Könnten sich betroffene Unternehmen dem Data Act entziehen, wenn diese auf den Schutz personenbezogener Daten und den Vorrang der DSGVO verweisen? Letzteres sah der Referent kritisch.
Was sind darüber hinaus die konkreten Folgen des Data Acts? Hersteller müssten eine Nutzeridentifikation und Nutzerverwaltung bereithalten, wenn die eigenen Produkte an Abnehmer verkauft werden, die das Produkt selbst nutzen oder dieses untervermieten. Auch müssten eine Analyse und Klassifikation der auf dem Produkt verarbeiteten bzw. erzeugten Daten erfolgen sowie die Frage geklärt werden, wie die Nutzer über die Datenverarbeitung zu informieren sind. Ein Ausweg, zumindest aus den Fragestellungen rund um den Datenschutz, könne hier die Anonymisierung der personenbezogenen Daten darstellen. Daher beendete Prof. Dr. Raji seinen spannenden Vortrag mit der Aussage, dass der Data Act auch ein „Beschleuniger für die Anonymisierung“ sei. Diese Aussage traf im Publikum auf breite Zustimmung.
Die Perspektive der Aufsichtsbehörde
Der Landesdatenschutzbeauftragte Hamburgs, Thomas Fuchs, zog in seinem Schlussvortrag zunächst gewisse Parallelen zur KI-Verordnung (KI-VO). Diese sei im vergangenen Jahr beim 3. Hamburger Datenschutzform vorgestellt und besprochen worden und stellte (damals) die Firmen ebenso vor große Herausforderungen.
Daraufhin veranschaulichte Herr Fuchs einige Auswirkungen des Data Acts und der DSGVO anhand eines Anwendungsfalls in der typischen Personenkonstellation: Fahrzeughersteller, Autofahrer und Werkstatt. Im Raum stünde hier die Datenverarbeitung auf Basis der Einwilligung aus Art. 6 Abs. 1 S. 1. lit. a DSGVO bzgl. der Verarbeitung von z. B. auch Daten über das Fahrverhalten, die sich auch im modernen Fahrzeug befinden könnten. Denkbar wäre seiner Ansicht nach aber auch ein Vertrag als Rechtsgrundlage für die Datenübermittlung. Grundsätzliche käme auch das berechtigte Interesse (Art. 6 Abs. 1 S. 1 lit. f DSGVO) in Betracht, da in dem Beispielfall der Autofahrer und die Werkstatt ähnliche Interessen verfolgen würden. Eine Datenverarbeitung könnte aber auch dann zulässig sein, wenn infolge einer Anonymisierung oder Aggregation der Daten die DSGVO gar nicht (mehr) anwendbar sei.
Weiter führte Herr Fuchs zum Verhältnis zwischen der DSGVO und dem Data Act anhand des praxisnahen Beispiels einer Fitnessuhr aus: Die Nutzenden hätten demnach einen Anspruch auf Zugang zu den Rohdaten des Herstellers der Fitnessuhr. Aber es geht auch noch weiter: Ein Fitnessstudio oder die Krankenversicherung der betroffenen Person könnte zudem ein Interesse an den Daten der Fitnessuhr, die betroffene Person ein Interesse an der Weitergabe dieser Daten haben, wenn diese durch die Weitergabe der Daten auf der Fitnessuhr z. B. Vorteile in Form von geringeren Krankenkassenbeiträgen erlangt. Zusammengefasst seien in dieser Konstellation grundsätzlich der Vertrag, die Einwilligung, als auch das berechtigte Interesse eine zulässige Rechtsgrundlage für die Weitergabe dieser personenbezogenen Daten. Da jedoch in diesem Fall die Fitnessuhr auch eine Vielzahl an Gesundheitsdaten speichere, sei dies nur mit einer ausdrücklichen Einwilligung (gem. Art. 9 DSGVO) möglich.
Im Hinblick auf die bereits aufgeworfenen datenschutzrechtlichen Fragen rund um die personenbezogenen Daten im Zusammenhang mit dem Data Act sprach sich Herr Fuchs für eine präzise Differenzierung der Daten aus: Die Herausforderung bestünde im korrekten Umgang mit einem „Datenmix“ aus personenbezogenen und nichtpersonenbezogenen Informationen. Wo bislang eine Vielzahl von Daten aufgrund der Anwesenheit weniger personenbezogener Daten im Zweifel in der Gesamtheit als „personenbezogen“ angesehen wurde, müsse nun zugunsten des Data Acts ein Umdenken stattfinden. Das Ausschlusskriterium „Datenschutz“ dürfe nur für tatsächlich personenbezogene Daten gelten, nichtpersonenbezogene Daten müssten von diesen differenziert betrachtet werden.
Auch war der HmbBfDI die Frage auf, wer von einem Personenbezug Kenntnis haben müsse, damit ein Datum als personenbezogen gewertet werde. Hierzu referierte der Landesdatenschutzbeauftragte zum derzeitigen Diskussionsstand der Anonymisierung. So sei zu bewerten, wie groß der Aufwand und die Wahrscheinlichkeit der Identifikation der Person sei, um so auf einen Personenbezug schließen zu können. Am Beispiel des Autofahrers und der Autowerkstatt vertrat Herr Fuchs die persönliche Annahme, dass ein Ersatzteilhersteller den Personenbezug hinter den relevanten Fahrdaten weder benötige, noch wünsche und daher im Hinblick auf diesen Akteur von anonymen Daten ausgegangen werden könnte.
Die extreme Meinung hingegen lehne eine Anonymisierung quasi ab, da laut ihrer Ansicht eine Identifikation mit ausreichend großen Datensätzen immer möglich sei. Eine EuGH-Entscheidung stehe hierzu in diesem Jahr noch aus und könnte vielleicht für mehr Rechtssicherheit sorgen.
Für vom Data Act betroffene Hersteller bot Herr Fuchs eine Übersicht der wichtigsten Aufgaben: Es müsse zunächst der Anwendungsbereich des Data Acts bezogen auf das Unternehmen geprüft werden. Auch müsse das eigene Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) um nichtpersonenbezogene Daten erweitert und ggf. Geschäftsgeheimnisse gekennzeichnet werden. Zur Bereitstellung der Daten müssten die erforderlichen technischen Schnittstellen geschaffen und die erforderlichen Verträge und Einwilligungserklärungen vorbereitet werden. Zuletzt müsse eine angemessene Transparenz am Beispiel der Datenschutzhinweise geschaffen und organisatorisch der*die Datenschutzbeauftragte und die IT-Abteilung eingebunden werden.
Aktuelle Diskussion zur Aufsicht in Deutschland
Im letzten Teil seines Vortrages widmete sich Thomas Fuchs kritisch der derzeitigen Diskussion zu den Zuständigkeiten der Aufsichtsbehörden bzw. der von einigen Personen(-gruppen) angestrebten Neuregelung der Datenschutzaufsicht. Das Vorhaben der Zusammenlegung von Zuständigkeiten könnte europa- und verfassungswidrig sein, so der grundsätzliche Tenor. Im Hinblick auf den Data Act würde bislang bzgl. der Aufsicht über den Umgang mit nichtpersonenbezogenen Daten keine behördliche Kompetenz vorliegen. Künftig solle wohl die Bundesnetzagentur zuständig sein und entsprechende Maßnahmen einleiten.
Die Hamburger Aufsichtsbehörde gehe – mangels Aussicht auf eine zeitnahe Verabschiedung eines nationalen Durchführungsgesetzes – derzeit davon aus, ab September dieses Jahres bzgl. personenbezogener Daten auch für den Data Act zuständig zu sein (vgl. Art. 37 Abs. 3 DA). In dieser Position sei insbesondere vorgesehen, dass die jeweils zuständige Landesaufsichtsbehörde im B2B-Bereich den Datenzugang gegen Hersteller bzw. die Datenweitergabe durch diese mittels eines Verwaltungsaktes durchsetzt. Sofern zwei parallellaufende Verfahren mit einem Bußgeld zu ahnden wären, dürfe aber aufgrund der hiesigen Rechtslage nur ein Bußgeld verhängt werden.
Einen Ausblick wagen?
Nach dem Vortrag von Herrn Fuchs folgte eine Podiumsdiskussion.
Hier wurde u. a. betont, dass nur die jeweils zuständige Landesbehörde Verwaltungsakte gegenüber den im Bundesland ansässigen Herstellern erlassen könne. Auch wurde erklärt, dass für den Zugang zu Nutzerdaten durch dritte Personen (z. B. Familienangehörige eines Patienten) ein entsprechender Vertrag mit dem Hersteller geschlossen werden müsse. Im Gesundheitswesen müssten darüber hinaus diverse vorrangige Spezialgesetze beachtet werden. Auch wurde die Rechtmäßigkeit der Herausgabe von Daten diskutiert, die z. B. im Beschäftigtenverhältnis und bei der Nutzung von Firmenfahrzeugen erzeugt werden. Die Rechtsgrundlage für die Herausgabe der Daten an den Arbeitgeber als Fahrzeughalter sei fraglich.
Am Ende der Veranstaltung wurde die Frage aufgeworfen, ob der Data Act ein ebenso großes Thema und so hoch „fliegen“ werde, wie die DSGVO oder ob er sich eher als (O-Ton) „Rohrkrepierer“ entpuppen werde. Hier scheint Konsens zu sein, dass die Auswirkungen des Data Acts weniger weitrechend sein dürften als die Folgen der DSGVO. Es bleibe jedoch abzuwarten, wie sich der Data Act nach seinem Inkrafttreten im September entwickeln und welche Auswirkungen er auf den Markt und die Hersteller haben wird.
Mit diesen Schlussworten endete die – wieder einmal – sehr gelungene Veranstaltung, die sich mittlerweile zu einem prominenten Format in Hamburg entwickelt hat.