„Die Europäische Datenstrategie soll die EU an die Spitze einer datengesteuerten Gesellschaft bringen. Ein Binnenmarkt für Daten ermöglicht eine EU-weite und branchenübergreifende Datenweitergabe zum Nutzen von Unternehmen, Forschenden und öffentlichen Verwaltungen.“ So beschreibt es die EU-Kommission.
Wahrlich heitere Aussichten! … Aber wie geht das mit dem Datenschutz?
Mit dieser Frage beschäftigte sich die ditis in ihrem Praxisworkshop „Data Act, Digital Services Act, AI Act – und wie geht das mit dem Datenschutz?“ im Herbst dieses Jahres. In diesem Beitrag soll auf die datenschutzrechtlichen Aspekte zum Themen Data Act aus diesem Praxisworkshop eingegangen werden.
Data Act
Wir berichteten hier bereits ausführlich über den Data Act (DA-E). Nachdem der Rat der EU und das EU-Parlament im Juni 2023 eine politische Einigung über den endgültigen Text erreicht haben, wird jedoch nach wie vor auf das Inkrafttreten der Verordnung gewartet.
Im Praxisworkshop wurden neben den bereits bekannten Aspekten des Data-Acts (siehe hierzu auch unseren Beitrag) wichtige Punkte zum Datenschutz hervorgehoben, u. a. die Informationspflicht und die Rechtmäßigkeit der Datenverarbeitung (Stichwort: Rechtsgrundlage).
Zur Erinnerung: Der Data Act soll regeln, wer auf welche Daten, die über vernetzte Geräte (z. B. Autos oder Smart-Home-Geräte) generiert werden, zugreifen darf bzw. darauf Zugriff gewähren muss. Gleichzeitig stellt Art. 1 Nr. 3 DA-E klar, dass insbesondere die Anwendbarkeit der DSGVO von der Verordnung unberührt bleibt.
Informationspflichten
Art. 3 Nr. 2 DA-E gibt vor, dass vor dem Abschluss eines Vertrags über den Kauf, die Miete oder das Leasing eines Produkts oder einer damit verbundenen Dienstleistung Nutzer*innen in klarer und verständlicher Form Informationen bereitgestellt werden, u. a. zur Datenverarbeitung bei der Produktnutzung, zu den Zugriffsmöglichkeiten der Nutzer*innen auf die Daten und zur Absicht des Produktherstellers bzw. Dienstleisters ob und wenn ja, welche Daten zu welchen Zwecken selbst verwendet und/oder an Dritte weitergegeben werden sollen.
Im Erwägungsgrund (EG) 23 zum DA-E wird zudem weiter ausgeführt, dass diese Informationspflicht nicht die Pflicht des Datenverantwortlichen berührt, der betroffenen Person Informationen gem. den Artt. 12- 14 DSGVO bereitzustellen. Entsprechend regelt Art. 1 Abs. 3 DA-E die Unberührtheit der DSGVO durch den DA-E.
Probleme, die m. E. hier auftreten können, möchte ich anhand eines eigenen Beispielfalles verdeutlichen:
Sandra (=Nutzerin) kauft für den gemeinsamen Haushalt mit Peter (= weitere betroffene Person) eine Kaffeemaschine. Ein smartes Gerät mit Userpräferenzen, Spracheingabe, individueller App-Steuerung etc. (hier würde durch die Verarbeitung von Nutzerdaten in einer App oder der Stimme von Nutzer und betroffenen Personen ein Personenbezug nach DSGVO vorliegen). Das Gerät stammt vom Hersteller A-Kaffee (=Dateninhaber), der Kontrolle über die technische Konzeption der Kaffeemaschine hat und auch die App anbietet.
Die Informationspflichten nach Art. 3 Nr. 2 DA-E gegenüber Sandra als Nutzerin können beim Kauf, z. B. mittels Beilage zum Gerät und über die App, erfüllt werden. Gegenüber ihr und weiteren betroffenen Personen könnten zudem die Informationspflichten nach der DSGVO für die Datenverarbeitung in dem Gerät bzw. in verbundenen Services (z. B. der App) mittels einer Informationsbeilage oder über einen am Gerät angebrachten QR-Code bereitgestellt werden. Fraglich ist jedoch, wie die Informationspflichten nach der DSGVO bei einer Datenübermittlung an einen Dritten (neuer Verarbeitungszweck) gegenüber betroffenen Personen, die nicht der Nutzer sind, erfüllt werden sollen, z. B. gegenüber Gästen von Sandra und Peter, die mittels Spracheingabe mit der betreffenden Kaffeemaschine interagiert haben. Nach den Vorgaben der DSGVO trifft diese Informationspflicht die Verantwortliche der Datenverarbeitung. Ist dies A-Kaffee als Dateninhaber oder Sandra als Nutzerin, die die Übermittlung veranlasst (Art. 3 Abs. 2 Nr. g) DA-E? Und würde für Sandra nicht die Haushaltsausnahme der DSGVO (Art. 2 Abs. 2 lit. c) DSGVO) greifen? Hier liegen augenscheinlich noch offene Fragen zur praktischen Umsetzung des Nebeneinanders von DSGVO und DA-E vor. An dieser Stelle wird der Vollständigkeit halber auf die Ausnahme von den Pflichten bei der Datenweitergabe für Kleinst- und Kleinunternehmen gem. Art. 7 Abs. 1 DA-E verwiesen.
Soweit so gut. Kommen wir zur Rechtsgrundlage der Datenverarbeitung
Sandra möchte nach einiger Zeit die auf dem Gerät und den verbundenen Services gespeicherten Daten an den Dienstleister B-Kaffee (=Datenempfänger) übermitteln lassen und veranlasst dies gem. DA-E gegenüber dem Dateninhaber A-Kaffee.
Im Praxisworkshop der ditis wurde neben den Informationspflichten die Rechtsgrundlage hervorgehoben, die für die Verarbeitung personenbezogener Daten erforderlich ist: Art. 4 Abs. 5 und Art. 5 Abs. 6 DA-E regeln, dass wenn der Nutzer keine von der Datenverarbeitung betroffene Person ist, personenbezogene Daten, die bei der Nutzung eines Produktes oder verbundenen Dienstes erzeugt werden, nur dann dem Nutzer bzw. Dritten zur Verfügung gestellt werden dürfen, wenn hierfür eine gültige Rechtsgrundlage gemäß Art. 6 Abs. 1 DSGVO vorliegt und ggf. die Bedingungen des Art. 9 DSGVO erfüllt sind. Noch deutlicher wird m. E. hierbei der Erwägungsgrund 24 zum DA-E: Der DA-E schafft keine Rechtsgrundlage gemäß der DSGVO! Die Pflicht zur Datenweitergabe nach dem DA-E könnte somit nicht als eine gesetzliche Verpflichtung nach Art. 6 Abs. 1 S. 1 lit. c DSGVO und somit als Rechtsgrundlage zur Datenverarbeitung angesehen werden.
In unserem Beispielfall bräuchte A-Kaffee somit für die Übermittlung personenbezogener Daten von Peter und etwaigen anderen betroffenen Personen an B-Kaffee eine Rechtsgrundlage, z. B. eine Einwilligung. Gleiches dürfte für die Nutzerin (veranlasst die Datenübermittlung) gelten, wenn diese als Verantwortliche i.S.d. DSGVO angesehen wird (siehe oben). Eine Einwilligung als Rechtsgrundlage für die Datenverarbeitung – insbesondere bei einer unbekannten Anzahl betroffener Personen – erscheint hier unpraktikabel. Vertretbar könnte sein, die Datenübermittlung auf das berechtigtes Interesse nach Art. 6 Abs. 1 S. 1 lit. f DSGVO zu stützen. Seitens A-Kaffee könnte ein berechtigtes Interesse an der Datenverarbeitung entsprechend der geltenden Gesetzeslage (DA-E) bestehen. Nutzer*innen als eigene Verantwortliche müssten ggf. ein anderes berechtigtes Interesse darlegen. Zu beachten wäre hierbei aber zum einen, dass das berechtigte Interesse als Rechtsgrundlage ungeeignet sein dürfte, sofern sensible Informationen wie Daten von Minderjährigen oder Gesundheitsdaten betroffen sein sollten. Darüber hinaus sollte grundsätzlich überlegt werden, welche personenbezogenen Daten an Dritte übermittelt werden sollen und ob diese für den beabsichtigten Übermittlungszweck überhaupt erforderlich sind. Im Zweifel sollten die Daten unkenntlich gemacht werden (Achtung: Auch die Anonymisierung stellt eine Datenverarbeitung dar und bedarf einer Rechtsgrundlage nach DSGVO;in Betracht kommen könnte auch hier das berechtigte Interesse).
Data Act geht nicht ohne Datenschutz
Solange Produkte und verbundene Services nicht nur technische, sondern auch personenbezogene Daten verarbeiten, kommt man um eine parallele Betrachtung von Data Act und DSGVO nicht herum. Welche praktischen Stolpersteine bei dem Nebeneinander der zwei Gesetze dabei zum Vorschein kommen, wird hier verdeutlicht. Darüber hinaus macht Art. 33 Abs. 1 und 3 DA-E deutlich, dass sowohl Verstöße gegen den Data-Act (z. B. bei einer unterlassenen Datenweitergabe), als auch Verstöße gegen die DSGVO (z. B. bei einer fehlenden Rechtsgrundlage) sanktioniert werden sollen.
Unternehmen als Dateninhaber sollten – so der Appell im Praxisworkshop – bei der Erfüllung der Pflichten aus dem Data-Act sowohl im Hinblick auf personenbezogene als auch nicht personenbezogene Daten auf die Erfahrungen der/des Datenschutzbeauftragten mit Themen wie Informations-/Datenschutzhinweisen, technischen und organisatorischen Maßnahmen aber auch Löschung, Zweckbindung, Datenübermittlungen an Empfänger außerhalb der EU/des EWR zurückgreifen. Ob und wie die beschriebenen Schwierigkeiten beim Nebeneinander von Data Act und DSGVO gelöst werden, bleibt abzuwarten.