Data Act – Datenschleuder als Wirtschaftsinstrument

Der Data Act steht kurz vor seinem Abschluss. EU-Parlament und Rat der EU haben eine politische Einigung über den Data Act erzielt. Die Einigung muss nur noch formell bestätigt werden.

Free Data für den Wirtschaftsaufschwung in der EU

Beim Data Act geht es um die Regelung der Frage, zu welchen Bedingungen auf Daten, die über vernetzte Geräte generiert werden, zugegriffen werden darf. Vernetzte Geräte sind z. B. die Alexa-Geräte, Smart Watches, E-Autos oder auch Daten aus Smart Home Systemen. Die EU-Kommission erhofft sich davon vor allem einen wirtschaftlichen Schub für den Binnenmarkt, wie sie in einem Factsheet illustrativ darstellt, u. a. einen BIP-Zuwachs von über 270 Mrd. Euro bis 2028. Über den Rahmen der Regelung hatten wir bereits berichtet, nachdem die Kommission ihren Entwurf im Februar 2022 vorstellt hatte.

Im Gegensatz zur DSGVO, wo es um den Schutz personenbezogener Daten geht, geht es beim Data Act um Antworten auf die Frage, wer personenbezogene und nicht personenbezogene Daten, die von technischen Geräten erzeugt worden sind, nutzen darf. Dies betrifft den privaten und den industriellen Bereich.

Zurzeit werden Daten von den vernetzten Geräten gesammelt, aber nur sehr eingeschränkt genutzt.

Jeder darf Daten herausverlangen und weitergeben

Für Verbraucher ist der Data Act (DA-E) natürlich im Hinblick auf ihre eigenen Geräte interessant, die Daten generieren, wie das Beispiel der Fitnessarmbanduhr im bereits erwähnten Blogbeitrag zeigt. Nutzer einer Fitnessarmbanduhr können vom Dateninhaber (dem Dienstleister), der die Daten verarbeitet, verlangen, dass die Daten einem Dritten bereitgestellt werden.

Dieses Konstrukt existiert bereits für personenbezogene Daten in Art. 20 DSGVO (Recht auf Datenweitergabe). Der Art. 5 DA-E erweitert dieses Recht auch auf nicht personenbezogene Daten. Dabei können sich aber nicht nur natürliche Personen auf diesen Anspruch berufen, sondern auch Unternehmen, die durch Nutzung von smarten Geräten Daten generieren.

Wenn Unternehmen smarte Geräte einsetzen, bspw. Roboter in der Montage oder der Landwirtschaft (Smart Farming), können diese ebenfalls vom Dateninhaber, sofern es einen gibt, die Weitergabe oder Herausgabe der Daten verlangen.

Betriebsgeheimnisse in Gefahr?

Hier gab es bis zuletzt die Diskussion um die Frage des Schutzes von Geschäftsgeheimnissen. Damit die im Fact Sheet versprochenen Effekte erreicht werden können, ist es notwendig, dass die Gerätedaten zwischen den Unternehmen geteilt werden und dazu möglichst wenige Hürden bestehen. Daher geht es nicht nur um die Herausgabe an den Nutzer (egal ob natürliche Person oder Unternehmen), sondern auch um die Pflicht des Dateninhabers die generierten Daten mit Dritten zu teilen. Daher regelt Art. 5 DA-E genau dieses Recht, die Daten durch den Nutzer auch an Dritte weiterzugeben. Der Austausch der Daten soll erleichtert werden und verpflichtet die Dateninhaber zur Einrichtung von technischen Schnittstellen gemäß Art. 28 Abs. 1 DA-E. Die Dateninhaber sind daher angehalten, entsprechende Schnittstellen in ihre Produkte einzubauen.

Eine Einschränkung macht hier bisher Art. 5 Abs. 2 DA-E, wonach zentrale Plattformdienste (bspw. Google, AWS oder Microsoft) Daten vom Nutzer nicht erhalten dürfen, die dieser von einem anderen Dateninhaber angefordert hat. Diese werden im Gegenteil dazu verpflichtet, Schnittstellen zum erleichterten Wechsel zu etablieren. Ziel ist es also auch, den großen Anbietern, die vornehmlich aus den USA kommen, nicht weitere Vorteile zu verschaffen.

In der Pflicht zur Weitergabe von Daten des Dateninhabers, der i. d. R. das smarte Gerät entwickelt und verkauft hat, könnte dazu führen, so die Befürchtung von Unternehmen, dass sie Geschäftsgeheimnisse preisgeben müssen, die dann in die Hände der Konkurrenz fallen.

Der Art. 8 Abs. 5 DA-E versucht diesen Bedenken Rechnung zu tragen. Darin ist geregelt, dass eine Pflicht, Daten bereitzustellen, die zur Offenlegung von Geschäftsgeheimnissen führen, ausdrücklich nicht besteht. Sollte es zum Streit darüber kommen, ob Geschäftsgeheimnisse betroffen sind oder nicht, soll nach Art. 10 DA-E eine Streitbeilegungsstelle angerufen werden können.

Kollision mit der DSGVO – was gilt?

Die große Herausforderung in Hinblick auf die DSGVO wird es sein, wie die Pflichten aus beiden Gesetzen erfüllt werden können. Das praktische Problem stellen die Datensätze dar. Diese bestehen häufig aus Daten mit Personenbezug.

Es reicht nach Art. 4 Nr. 1 DSGVO aus, wenn Daten „personenbeziehbar“ sind. Es müssen also nicht Klarnamen in dem Datensatz enthalten sein. Es reicht aus, wenn sich aus den Daten Rückschlüsse auf eine natürliche Person ziehen lassen. Daher fallen auch pseudonymisierte Daten unter den Anwendungsbereich des Datenschutzes. Für jede Weitergabe von personenbezogenen Daten aus smarten Geräten bedarf es einer Rechtsgrundlage aus Art. 6 oder 9 DSGVO.

Besteht diese nicht, liegt ein Datenschutzverstoß vor, der im schlimmsten Fall gemäß Art. 83 Abs. 5 lit. a DSGVO zu einem Bußgeld von bis zu 20 Mio. Euro oder bis zu 4 % des Jahresumsatzes des vorangegangenen Geschäftsjahres führt. Dies könnte z. B. der Fall sein, wenn Daten von Beschäftigten des Dateninhabers Teil des Datensatzes sind und diese keine Einwilligung zur Herausgabe abgegeben haben.

Verstößt ein Unternehmen allerdings gegen die Herausgabepflicht aus Art. 5 DA-E, sieht Art. 33 DA-E Sanktionen vor, die im Einklang mit Art. 83 Abs. 5 DSGVO stehen. Es droht also dieselbe Bußgeldhöhe, wenn man sie nicht herausgibt.

Ob sich dieser Widerspruch dadurch auflösen lässt, indem man Art. 5 DA-E als gesetzliche Pflicht ansieht und daher eine Rechtsgrundlage aus Art. 6 Abs. 1 lit. c DSGVO besteht, muss diskutiert werden. Andernfalls sind Dateninhaber gehalten, wirksame Anonymisierungsprozesse für solche Datensätze zu etablieren, um bei Herausgabe der Daten nicht gegen die DSGVO zu verstoßen. Allerdings bedarf es für den Verarbeitungsschritt der Anonymisierung wiederum einer Rechtsgrundlage nach der DSGVO.

An dieser Stelle ist also noch viel Musik im Data Act und in der Frage, wie dieser zur DSGVO abzugrenzen ist bzw. wie beide Gesetze miteinander kombiniert werden können.

Kleinst- und Kleinunternehmen von Verpflichtungen ausgenommen

Zuletzt ist anzumerken, dass man aus der DSGVO gelernt hat und nicht allen Unternehmen die Verpflichtungen auferlegt. So sieht der Art. 7 Abs. 1 DA-E vor, dass die Pflichten zur Herausgabe für Kleinst- oder Kleinunternehmen nach der Definition aus Art. 2 2003/361/EG (weniger als 50 Personen, weniger als 10 Mio. Euro Jahresumsatz) nicht gelten, sofern diese keine Partnerunternehmen oder verbundene Unternehmen haben, die nicht als Kleinst- oder Kleinunternehmen gelten.

Kurze Frist zur Umsetzung

Der Data Act soll 20 Monate nach Inkrafttreten gelten. Für eine Umsetzung bleibt daher wenig Zeit. Es kann davon ausgegangen werden, dass der Data ACT spätestens nach der Sommerpause im September 2023 in Kraft tritt. Ab dann tickt die Uhr.

Fazit

Es ist ein hehres Ziel der EU, den wirtschaftlichen Nutzen der Digitalisierung in den Vordergrund zu stellen, um so den Wohlstand zu mehren. Allerdings müssen die Unternehmen, die als Dateninhaber fungieren, ebenfalls ein Interesse daran haben, die generierten Daten zu teilen. Es muss für sie erkennbar sein, dass das Anliegen für alle im Binnenmarkt – Unternehmen und Verbraucher – sinnvoll ist und der Wirtschaft hilft. Daher wird es Aufgabe der EU-Kommission sein, die Bedenken der Unternehmen zu zerstreuen und Rechtsklarheit in Bezug auf die DSGVO zu schaffen.

Olaf Rossow | 20. Juli 2023 | Allgemein | DA-E, Data Act, Dateninhaber, Datenweitergabe, Datenzugriff, DSGVO, EU-Kommission, Geschäftsgeheimnis, Herausgabepflicht, personenbezogene Daten, smarte Geräte, Unternehmen, Verbraucher

5 Comments

Rolf
20. Dezember 2023 @ 11:48

„Ob sich dieser Widerspruch dadurch auflösen lässt, indem man Art. 5 DA-E als gesetzliche Pflicht ansieht und daher eine Rechtsgrundlage aus Art. 6 Abs. 1 lit. c DSGVO besteht, muss diskutiert werden.“
Das glaube ich ja mal nicht, denn wenn ich privat (also ohne AV) eine smarte Kamera daheim habe, dann würde das ja Tür und Tor öffnen, dass diese Videobilder vom Dienstleister (Netatmo, dlink, etc) an Dritte herausgegeben werden. Oder verstehe ich das falsch?
Anonymus
24. Juli 2023 @ 13:38

Zum Zitat aus dem Beitrag: „Allerdings bedarf es für den Verarbeitungsschritt der Anonymisierung wiederum einer Rechtsgrundlage nach der DSGVO.“

Aber was wäre eigentlich die Rechtsgrundlage für die Anonymisierung (sensibler) Daten ? Etwa die konkludente – also vermutete – Einwilligung des Betroffenen gem. Artt. 6 (1) lit. a bzw. 9 (2) lit a DSGVO in den Verarbeitungsvorgang der Anonymisierung (will heissen: „Löschen“ iSd Art. 4 Zif. 2 DSGVO), weil es keinen Zweck mehr gibt, für den der Personenbezug noch gebraucht würde?
- Anonymous
  14. November 2023 @ 9:39
  
  Das Zitat ist rechtlich ist so nicht tragbar. Ob eine Rechtsgrundlage für Anonymisierung nötig ist, ist umstritten und wird von nicht wenigen kategorisch abgelehnt.
  Das Bundesministerium schreibt dazu „Selbst wenn eine Anonymisierung als datenschutzrechtliche Verarbeitung angesehen würde, muss diese regelmäßig nach Art. 6 Abs. 4 DS-GVO zulässig sein.“
  
  https://www.bmwk.de/Redaktion/DE/Publikationen/Industrie/anonymisierung-im-datenschutz.pdf?__blob=publicationFile&v=4
Anonymous
20. Juli 2023 @ 11:53

Zitat aus dem Beitrag: „Ob sich dieser Widerspruch dadurch auflösen lässt, indem man Art. 5 DA-E als gesetzliche Pflicht ansieht und daher eine Rechtsgrundlage aus Art. 6 Abs. 1 lit. c DSGVO besteht, muss diskutiert werden.“

Das verspricht ja schon wieder Millionengewinne in der juristisch-technischen Beraterindustrie. Im Factsheet der EU-Kommission steht zwar nichts über deren konkret erwarteten Gewinne, aber die werden der garantierte Hauptgewinner dieser vor unbestimmten Rechtsbegriffen und Reflexwirkungen auf andere Gesetze mal wieder nur so strotzenden Regelung sein. Konkretes Horror-Szenario: Europäischer „Dateninhaber“ wird von US oder chinesischem Unternehmen mit Sitz in der EU auf Herausgabe von Daten verklagt. Nach Niederlage des dann ehemaligen alleinigen „Dateninhabers“ wird er dann auch noch von Privatpersonen und Datenschutzbehörden wegen Verstößen gegen die DSGVO „rangenommen“. Der Verlierer sind dann europäische Unternehmen und Bürger: Offenbar ist zwar genau das Gegenteil beabsichtigt, aber selbst wenn sich das Ende gut für die EU Unterehmen und Bürger laufen sollte. Der Beratungsbedarf schreit jedenfalls vom Himmel. Die „Lawfirms“ werden sich schon die Hände reiben. Auch die Einführung des Ganzen wird wieder unzählige virtuelle Seminare hervorbringen. Das klingelt die Kasse bei den Anbietern. Herrliche Zeiten für die Beraterbranche.
Nicolas Kutschera
20. Juli 2023 @ 11:21

Der Entwurf der Kommission zum Data Act enthält bereits in Art. 1 Abs. 3 eine Regelung, die das Verhältnis zur DSGVO klären möchte, spricht aber nur von einem „unberührt lassen“.
Von einer Vielzahl von Richtungen (insb. EU-DSB & -DSA) kam bereits der Vorschlag den Wortlaut des Art. 1 Abs. 3 an den des Data Governance Acts anzupassen. Dort wird der Vorrang des Datenschutzrechts wörtlich ausgesprochen und betont, dass die Verordnung keine Rechtsgrundlage iSd Datenschutzgesetze schafft.
Das zumindest das Parlament hier den Vorschlägen des EU-DSB und -DSA folgen ist eindeutig. Denn auch der Kommissionsvorschlag zum DGA hatte die selbe Klausel zum Datenschutz wie der zum Data Act.