Die „Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung“ (kurz: Datenverordnung oder eben Data Act) ist am 11. Januar 2024 in Kraft getreten. Nach einer Übergangsfrist wird dieses Regelwerk zum 12. September 2025 anwendbar.
Insbesondere adressiert der DA Folgendes:
- Datenweitergabe von Unternehmen an Verbraucher (B2C) bzw. an andere Unternehmen (B2B)
- Verbot missbräuchlicher Vertragsklauseln für den Datenzugang und die Datennutzung zwischen Unternehmen (B2B)
- ggf. Bereitstellung von Daten für öffentliche Stellen wegen außergewöhnlicher Notwendigkeit (z. B. im Falle einer Pandemie)
- vertragliche Regelungen und technische Umsetzung beim Wechsel zwischen Datenverarbeitungsdiensten (sog. Cloud Switching)
Recht auf Zugang zu den „eigenen“ Daten
Die Daten, die etwa bei der Nutzung moderner Fahrzeuge oder einer Smartwatch anfallen, entstehen überhaupt erst dadurch, dass ein Nutzer diese Produkte einsetzt. Daher soll er nach Maßgabe des DA auch Zugang zu den selbst erzeugten Daten erhalten, und zwar – falls sinnvoll und möglich – in Echtzeit. Er soll darüber hinaus auch die Möglichkeit haben, den Hersteller des Produkts aufzufordern, die angefallenen Daten einem Dritten bereitzustellen. Wenn beispielsweise der Nutzer einer Smartwatch die Daten durch einen Dienstleister auswerten lassen will, weil dieser andere oder bessere Auswertungsmöglichkeiten bietet als der Hersteller, bietet ihm der DA die Möglichkeit dazu. Nutzer können zukünftig also den Hersteller des smarten Geräts auffordern, ihnen selbst oder eben Dritten Zugang zu den Daten zu gewähren bzw. diese in einem interoperablen Format bereitzustellen.
Datennutzung vs. Datenschutz
Bei der Nutzung moderner Technologie, wie Autos oder Smartwatches, fallen haufenweise Daten an. Oftmals haben diese einen Bezug zu einer bestimmten Person, sodass die Datenschutz-Grundverordnung (DSGVO) anwendbar ist. Nach Art. 1 Abs. 5 DA bleibt die DSGVO unberührt, d. h., sie ist parallel zum DA zu beachten; im Zweifel wird die DSGVO Vorrang haben.
Mit Datum vom 29. April 2025 hat der Hamburgische Beauftragte für Datenschutz und Informationssicherheit das Papier „Der Data Act als Herausforderung für den Datenschutz“ veröffentlicht. Darin wird auf folgende wichtige Aspekte im Zusammenspiel zwischen DA und DSGVO hingewiesen:
- Anwendungsbereich prüfen: Nicht alle Unternehmen, die Daten verarbeiten, unterliegen auch Pflichten aus dem DA. In den Anwendungsbereich fallen zunächst Stellen, die als Hersteller, Dateninhaber oder Nutzer mit vernetzten Geräten zu tun haben, sowie auch Datenverarbeitungsdienste und Cloud-Anbieter. Die behördlichen Zugangsrechte im Fall eines Notstands betreffen potenziell zudem fast alle Unternehmen, unabhängig davon, ob sie vernetzte Geräte verwenden. Für Kleinunternehmen gelten dabei Ausnahmen. Generell lohnt sich jedoch für alle Unternehmen eine Auseinandersetzung mit dem DA.
- Datenübersicht erstellen: Wer verpflichtet ist, Zugang zu Informationen zu gewähren, sollte sich einen Überblick verschaffen, welche Daten vorhanden sind. Hier kann insbesondere das Verarbeitungsverzeichnis (Art. 30 DSGVO) helfen, allerdings nur für die Verarbeitungen personenbezogener Daten. Darüber hinaus müssen im Rahmen der eigenen Daten-Governance allerdings auch Daten ohne Personenbezug in den Blick genommen werden, insbesondere Geschäftsgeheimnisse und andere sensible Informationen.
- Personenbezug klären: In Zweifelsfällen war es jedoch bislang üblich und sinnvoll, von personenbezogenen Daten auszugehen und sie dem Schutz der DSGVO zu unterwerfen. Künftig muss trennschärfer differenziert werden. Es muss präzise dargelegt werden können, ob ein Datum nichtpersonenbezogen ist und deshalb offengelegt oder ob es personenbezogen ist und deshalb gegebenenfalls zurückgehalten werden muss. Insbesondere sind Mischdatensätze zu überprüfen. Gemeinsame Datensätze aus Daten mit und ohne Personenbezug wurden bislang zumeist pauschal als personenbezogene Informationen eingestuft. Künftig bedarf es einer Differenzierung je nach konkretem Datum in dem Mischdatensatz.
- Geschäftsgeheimnisse kennzeichnen: Es ist notwendig, darlegen zu können, dass nicht nur der subjektive Wunsch besteht, die Informationen für sich zu behalten. Vielmehr muss ein objektives Geheimhaltungsbedürfnis in dem Sinne bestehen, dass die Verbreitung der Informationen einen Schaden nach sich ziehen würde. Die Einstufung von Daten als Geschäftsgeheimnis sollte in der Datenübersicht entsprechend dokumentiert werden.
- Schnittstellen einrichten: Vernetzte Produkte sind grundsätzlich so zu konzipieren, dass deren Nutzer einfach auf die von ihnen generierten Daten zugreifen, sie nutzen und teilen können. Bei der Zugangsgewährung ist auf eine sichere Übertragung zu achten, die nicht von unberechtigten Dritten eingesehen werden kann. Dafür bieten sich entsprechende Schnittstellen und/oder Internetportale mit Nutzerkonten an. Ein direkter Zugang mittels einer Schnittstelle ist jedoch nicht in jedem Fall zwingend.
- Verträge vorbereiten: Wer künftig zum Abschluss von Lizenzverträgen mit Nutzern und Datenempfängern verpflichtet ist, sollte entsprechende Muster vorbereiten. Dasselbe gilt für ein gegebenenfalls notwendiges Einwilligungsmanagement.
- Transparenz: Der DA enthält Informationspflichten u. a. bei Vertragsschluss über ein vernetztes Produkt. Die vorzubereitenden Texte ähneln den Datenschutzinformationen nach Art. 13 DSGVO, sind aber nicht vollständig deckungsgleich. Sie richten sich gegebenenfalls auch an andere Adressaten, weil die Käufer der Geräte nicht zwangsläufig auch die Nutzer sind. Dennoch ist eine inhaltliche Vereinheitlichung der die Verarbeitungen erklärenden Dokumente nach DA und nach der DSGVO sinnvoll.
Fazit:
Betroffene Unternehmen sollten sich frühzeitig auf die neuen Herausforderungen durch den DA vorbereiten. Insbesondere im Hinblick auf die parallel zu beachtenden Datenschutzvorgaben ist einiges zu beachten. Das Papier des Datenschutzbeauftragten aus Hamburg stellt dazu eine wertvolle Orientierungshilfe dar.
