Der EU Data Act – Teil 3

In unserer Beitragsreihe zum Data Act informierten wir bereits darüber, was der Data Act regelt und für wen er gilt und wie der Schutz von Geschäftsgeheimnissen mit den Anforderungen des Data Acts vereinbart werden kann. Schnell wird ersichtlich, dass der Data Act in unterschiedliche Rechtsbereiche hineinwirkt – so auch in das Datenschutzrecht. Dieser Beitrag widmet sich daher den wesentlichen Gemeinsamkeiten und Unterschieden zwischen EU Data Act und der EU Datenschutz-Grundverordnung (DSGVO).

Die DSGVO gilt für die Verarbeitung personenbezogener Daten. Bei einer Verarbeitung von Daten ohne Personenbezug sind damit auch die Regelungen der DSGVO grundsätzlich nicht anwendbar. Der Data Act hingegen erstreckt sich sowohl auf personenbezogene als auch nicht-personenbezogene Daten. Sofern personenbezogene Daten betroffen sind, ersetzt der Data Act jedoch nicht die Regelungen der DSGVO, sondern die Regelungen sind nebeneinander zu betrachten. Die datenschutzrechtlichen Regelungen genießen bei personenbezogenen Daten Vorrang gegenüber den Vorgaben des Data Acts.  

Bei einer Vielzahl von Begriffen verweist der Data Act auf die Definitionen aus Art. 4 DSGVO. Hierzu gehören die Definitionen der Begriffe „personenbezogene Daten“, „betroffene Person“ oder „Profiling“.

Im Gegensatz zur DSGVO umfasst der Begriff der Verarbeitung im Data Act jedoch sowohl personenbezogene als auch nicht-personenbezogene Daten. Während die Definition des Datenempfängers nach dem Data Act ausschließlich natürliche oder juristische Personen umfasst, die zu Zwecken innerhalb ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit handeln, unterscheidet die DSGVO grundsätzlich nicht nach beruflichen oder privaten Zwecken der Datenübermittlung (mit Ausnahme der Haushaltsausnahme).

Auch im Bereich der Informationspflichten zeigen sich Parallelen – insbesondere im Hinblick auf Transparenz, Nutzerrechte und den Umgang mit Daten. Während die DSGVO ihren Schwerpunkt auf die Information über die Verarbeitung personenbezogener Daten legt, erstreckt sich der Fokus des Data Acts darüber hinaus auf sämtliche generierte Daten, einschließlich nicht-personenbezogener Informationen.

So ist unter anderem Transparenz geboten – die Datennutzer sind klar und verständlich darüber zu informieren, welche Daten bei der Nutzung generiert werden, wie darauf zugegriffen werden kann und wer Zugriff hat. Zudem sehen beide Rechtsakte einen umfassenden Katalog an Pflichtinformationen vor und fordern eine vollständige und präzise Aufklärung über die jeweilige Datenverarbeitung bzw. Datennutzung. Außerdem stellen beide Gesetze die Rechte der betroffenen Personen in den Mittelpunkt und erfordern entsprechende Informationsbereitstellung, um diese Rechte überhaupt geltend machen zu können.

Die Zugangsrechte aus dem Data Act ähneln in ihrer Struktur dem Recht auf Datenübertragbarkeit nach Artikel 20 der DSGVO. In beiden Fällen können Nutzer bzw. betroffene Personen verlangen, dass ihnen Daten zur Verfügung gestellt werden – entweder zur eigenen Einsicht oder zur Weitergabe an einen anderen Verantwortlichen oder auch direkt an einen Dritten. Allerdings gelten im Detail unterschiedliche Voraussetzungen. Der Data Act sieht sich laut Artikel 1 Absatz 5 Satz 2 ausdrücklich als Ergänzung zu den Rechten aus Artikel 15 (Auskunft) und Artikel 20 (Datenübertragbarkeit) der DSGVO.

Zu beachten ist, dass die Person des Nutzers von der betroffenen Person abweichen kann. Das ist zum Beispiel der Fall, wenn eine Person vernetzte Produkte einer anderen Person verwendet. Für den Dateninhaber ist diese Unterscheidung in der Praxis kaum möglich. Entgegenstehende Interessen und Rechte Dritter sollten daher insbesondere bei Datenzugangs- bzw. -übertragungsansprüchen sorgfältig geprüft werden, um nicht gegen datenschutzrechtliche Vorgaben zu verstoßen. Andersherum kann auch der Dateninhaber aus mehreren Personen bestehen. Der Gesetzgeber hat hier das Beispiel des Verkäufers und des Herstellers genannt. Beide können Dateninhaber sein und damit bestimmte Pflichten gegenüber dem Nutzer haben. Gerade bei Vertriebsketten sind die Datenflüsse zu analysieren und ggf. mit Verträgen Transparenz zu schaffen, um nicht von Datenauskünften und Bußgeldern überrascht zu werden.

Ein wichtiger Unterschied liegt darin, dass sich die DSGVO ausschließlich auf personenbezogene Daten bezieht und nur der betroffenen Person selbst Rechte einräumt. Der Data Act hingegen gewährt Zugangs- und Informationsrechte auch für nicht-personenbezogene Daten und damit auch für Nutzer, die nicht als betroffene Personen im Sinne der DSGVO gelten. Dadurch erweitert der Data Act den Kreis der Anspruchsberechtigten und den Umfang der zugänglichen Daten deutlich. Die Unterscheidung personenbezogener und nicht-personenbezogener Merkmale ist in der Praxis häufig schwierig und orientiert sich an der aktuellen europaweiten Rechtsprechung. Auch können einzelne personenbezogene Daten einen ganzen Datensatz mit dem Personenbezug „infizieren“. Sofern die Daten nicht vollständig anonymisiert werden, kann das zur Anwendbarkeit der DSGVO für den gesamten Datensatz führen.

Diese Schnittmenge birgt Konfliktpotenzial, da der Data Act wirtschaftliche Datennutzbarkeit fördern will, während die DSGVO primär dem Schutz personenbezogener Daten dient. Der Gesetzgeber erkennt das Spannungsverhältnis ausdrücklich an und stellt klar, dass der Data Act die Rechte aus der DSGVO nicht einschränken darf.

Wenn nun die Verarbeitung personenbezogener Daten auch zur Erfüllung der Vorgaben aus dem Data Act erforderlich ist, liegt der Gedanke nahe, dass der Data Act selbst als eigenständige Rechtsgrundlage fingieren könnte. Dieser Auffassung wirkt der Gesetzgeber allerdings noch in den Erwägungsgründen 7 und 34 des Data Acts entgegen und stellt klar, dass die Verarbeitung solcher personenbezogener Daten stets durch eine Rechtsgrundlage aus Art. 6 Abs. 1 und ggf. Art. 9 Abs. 2 DSGVO gerechtfertigt sein muss. Im Übrigen werden auch nicht-personenbezogene Daten als personenbezogen gewertet, wenn beide Arten von Daten in einem Datensatz enthalten sind. Die Anonymisierung dieser Datensätze scheint hierbei die einzig praktikable Lösung, einer Anwendbarkeit der DSGVO zu entgehen, um lediglich die Pflichten des Data Acts erfüllen zu müssen.

Wo auf den ersten Blick einige Parallelen erkennbar sind, werden schnell unterschiedliche Zugrichtungen der beiden EU Regelungen deutlich. Auch wenn personenbezogene Daten in erster Linie durch die DSGVO geschützt werden, bleibt eine Beeinträchtigung der Verarbeitung im datenschutzrechtlichen Sinne durch die erhöhten Nutzbarkeitsanforderungen des Data Acts kaum aus. Unternehmen, die unter den Anwendungsbereich des Data Acts fallen, sollten sich frühzeitig mit den Anforderungen des Data Acts auseinandersetzen und ihre Datenschutzbeauftragten eng in die Prozessgestaltung einbinden. Ein Fokus auf eine vermehrt anonymisierte Datenhaltung, Maßnahmen des Privacy by Design und Privacy by Default könnten den Zwiespalt zwischen Datennutzbarkeit und Datenschutz schon im Ansatz verringern. Die strategielose Erfüllung der Anforderungen aus Data Act und DSGVO könnte für Unternehmen hingegen durchaus zur Zerreißprobe werden. 

Autorinnen: Cansu Muti (Data Privacy Consultant), Rebecca Schimkat LL.M. (Senior Data Privacy Consultant)