Im Januar 2024 berichteten wir zuletzt über den Data Act und dessen Verkündung. Damals wurde darauf hingewiesen, dass er ab September 2025 in Kraft tritt und somit für Unternehmen verpflichtend wird.
Da dieser Zeitpunkt näher rückt, hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) in einer Handreichung auf den Data Act aufmerksam gemacht und dabei insbesondere das Zusammenspiel mit der DSGVO bzw. dem Datenschutz betont. Im Folgenden wird der Inhalt dieser Handreichung näher erläutert.
Handreichung des HmbBfDI zum Data Act
Das Dokument fasst die wesentlichen Inhalte des Data Acts zusammen – vergleichbar mit unseren bisherigen Blogbeiträgen hier und hier.
Dabei veranschaulicht die Handreichung den Zweck des Data Acts aus Sicht der Verbraucher anhand eines Beispiels zur Inspektion des eigenen Fahrzeugs: Demnach gewährt der Data Act dem Fahrzeughalter das Recht, die vom Fahrzeug gesammelten Daten abzurufen und weiterzugeben. Der Zugang soll über eine Schnittstelle oder auf Antrag ermöglicht werden. Auch der Wechsel von Daten zwischen verschiedenen Cloud-Anbietern (Cloud Switching) soll erleichtert werden.
Für Verbraucher stehe im Vordergrund, dass sie die durch ihre Geräte erzeugten Daten frei nutzen können und die Hersteller verpflichtet seien, sie dabei zu unterstützen.
Unternehmen, die solche Geräte (Stichwort: Internet of Things) bereitstellen, müssten sich den Umsetzungsanforderungen des Data Acts stellen. Die Hamburger Behörde stellt klar, dass der Anwendungsbereich eröffnet ist, wenn Unternehmen vernetzte Geräte herstellen oder als Dateninhaber bzw. Nutzer mit diesen Daten umgehen.
Darüber hinaus gibt die Handreichung zum Data Act betroffenen Unternehmen eine konkrete To-do-Liste an die Hand (S. 5 f.):
- Überblick verschaffen
Unternehmen, die verpflichtet sind, Datenzugang zu gewähren, sollten eine Übersicht über die bei ihnen vorhandenen Daten erstellen. Dies betreffe sowohl personenbezogene als auch nicht personenbezogene Daten. Teilweise könne das Verzeichnis von Verarbeitungstätigkeiten hierbei hilfreich sein. Zumindest für personenbezogene Daten sollte daraus ersichtlich sein, welche Arten von Daten zu welchen Zwecken verarbeitet werden und wo diese gespeichert sind. - Personenbezug prüfen
Die Behörde hebt hervor, dass sich hier ein wesentlicher Unterschied zur DSGVO zeigt: Nach dem Data Act besteht eine Pflicht zur Herausgabe von Daten. Allerdings sei gemäß Art. 1 Abs. 5 Data Act die DSGVO weiterhin parallel anzuwenden. Daher müsse jedes Unternehmen vor der Gewährung des Datenzugangs prüfen, ob und inwiefern die DSGVO einschlägig ist. Der Personenbezug sei ein zentraler Aspekt, um DSGVO-Verstöße zu vermeiden. In diesem Zusammenhang verweist die Behörde auf sog. Mischdatensätze. Diese müssten in personenbezogene und nicht personenbezogene Daten getrennt werden. Nur letztere dürften herausgegeben oder zugänglich gemacht werden. - Geschäftsgeheimnisse
Neben möglichen fehlenden Rechtsgrundlagen nach der DSGVO könnten auch Geschäftsgeheimnisse gegen eine Weitergabe sprechen. Die Behörde betont, dass objektiv nachvollziehbar sein müsse, dass es sich tatsächlich um ein Geschäftsgeheimnis handelt – etwa, wenn durch die Herausgabe ein wirtschaftlicher Schaden zu erwarten ist. - Schnittstelle prüfen
Der Data Act rege ausdrücklich dazu an, eine Schnittstelle einzurichten, um insbesondere natürlichen Personen den Zugriff auf ihre generierten Daten zu erleichtern. Diese Schnittstelle müsse jedoch gegen unbefugten Zugriff abgesichert sein. - Rechtliche Absicherung der Datenherausgabe
Bei personenbezogenen Daten sei die Herausgabe bzw. der Datentransfer rechtlich abzusichern – etwa durch ein Einwilligungsmuster gemäß Art. 7 DSGVO. Bei anonymen Daten sollten ggf. Lizenzverträge mit den Datenempfängern abgeschlossen werden. Auch diese sollten vorbereitet werden, um eine rechtssichere wirtschaftliche Verwertung zu ermöglichen. - Informationspflichten
Ähnlich wie Art. 13 DSGVO, enthält auch Art. 3 Data Act Informationspflichten. Diese richteten sich sowohl an Käufer als auch an Nutzer der Geräte, so der HmbBfDI.
Data Act und DSGVO im Spannungsverhältnis
Abschließend weist die Behörde auf die Unterschiede und Überschneidungen zwischen DSGVO und Data Act hin. Die DSGVO gelte parallel zum Data Act und habe bei Widersprüchen Anwendungsvorrang. Der Schutz personenbezogener Daten wiege schwerer als der freie Datenfluss.
Daher empfiehlt die Behörde, dass personenbezogene Daten nur dann herausgegeben werden sollten, wenn hierfür eine Rechtsgrundlage nach der DSGVO – etwa eine Einwilligung oder ein berechtigtes Interesse – vorliegt. Dies gelte insbesondere für sensible Daten, wie Gesundheitsdaten, bei denen eine Rechtsgrundlage gemäß Art. 9 DSGVO erforderlich sei.
Besonders sorgfältig müsse geprüft werden, wenn eine Person Zugang zu personenbezogenen Daten beantrage, die nicht die betroffene Person selbst ist. In diesen Fällen sei zu klären, ob ein berechtigtes Interesse ausreiche oder ob eine Einwilligung der betroffenen Person eingeholt werden müsse.
Zudem macht die Behörde auf inhaltliche Überschneidungen des Datenzugangsrechts nach dem Data Act mit dem Recht auf Datenübertragbarkeit nach Art. 20 DSGVO aufmerksam. Sie empfiehlt, im Zweifel davon auszugehen, dass ein Antrag sowohl auf den Data Act als auch auf die DSGVO gestützt werden kann.
Auch in Bezug auf die Sicherheit beim Datentransfer weist die Behörde auf parallele Regelungen hin: Sowohl Art. 11 Data Act als auch Art. 32 DSGVO verpflichten dazu, technische und organisatorische Maßnahmen zu ergreifen, um unbefugten Zugriff zu verhindern. Eine Verschlüsselung der Daten sei daher zwingend erforderlich.
Zuständigkeiten der Behörden
Nach Auffassung der Hamburger Behörde sind Datenschutzbehörden auch für den Data Act zuständig, soweit es um personenbezogene Daten geht – insbesondere im Hinblick auf die Gewährung oder Ablehnung von Datenzugängen.
Die behördlichen Befugnisse ähnelten dabei jenen der DSGVO und umfassten Untersuchungen, Anordnungen sowie die Verhängung von Bußgeldern. Ein konkreter Bußgeldkatalog für den Data Act fehle bislang. Entsprechende Regelungen müssten noch durch ein nationales Durchführungsgesetz geschaffen werden.
Für nicht personenbezogene Daten sei noch unklar, welche Behörde zuständig sein wird. Die Ampelkoalition hatte die Bundesnetzagentur vorgeschlagen, doch muss die neue Regierung hierzu eine endgültige Entscheidung treffen.
Ab September 2025, so die Hamburger Behörde, würden Datenschutzbehörden auch Beschwerden nach dem Data Act entgegennehmen und bearbeiten.
Fazit
Der HmbBfDI nennt konkrete Punkte, die Unternehmen spätestens ab September 2025 beachten sollten, wenn sie internetfähige Geräte vertreiben, die Daten generieren. Bei Nichteinhaltung der Anforderungen des Data Acts drohten Sanktionen – auch wenn deren konkrete Ausgestaltung noch offen ist.
Unternehmen sind daher gut beraten, sich neben der DSGVO und der KI-VO auch mit den Anforderungen des Data Acts vertraut zu machen.