Data Act versus DSGVO – Ein widersprüchliches Verhältnis?

Betracht man das Verhältnis des Data-Acts zur DSGVO, so fällt zunächst die diametral abweichende Zielsetzung auf. Während die DSGVO, im Sinne des Grundsatzes der Datensparsamkeit, einen restriktiven Umgang mit Daten vorgibt, will der Data Act die Daten liberalisieren. Daraus ergibt sich naturgemäß ein Spannungsverhältnis.
Einleitend stellt der Data Atc dabei in Art 1 Abs 2 Data Act ganz klar: Diese Verordnung gilt sowohl für personenbezogene Daten als auch nicht personenbezogene Daten. Der Data Act umfasst somit sämtliche Daten sowie „mixed-datasets“.

Das Verhältnis DSGVO zum Data Act

Konkrete Regelungen zu diesem Verhältnis findet der Rechtsanwender in den Bestimmungen des Art 1 Abs 5 DSGVO sowie im Erwägungsgrund 7. Demnach gilt die DSGVO zunächst „unbeschadet“ des Data Acts. Dies spricht für eine parallele Existenz. Weiters wird klargestellt, dass die Regeln zum Data Access die Betroffenenrechte nach der DSGVO „ergänzen“. Weiters normiert Art 1 Abs 5 dritter Satz Data Act explizit den Grundsatz, dass im Falle eines Widerspruchs die DSGVO Vorrang hat.

Die Frage nach der Rechtsgrundlage

Datenschutzrechtliche sind folgende Fragen hoch interessant. Ist einem Übermittlung von personenbezogenen Daten vor dem Hintergrund des Data Acts vom Dateninhaber an (i) den Nutzer und (ii) Dritte erlaubt?

Mit anderen Worten: Bildet der Data Act die gesetzliche Grundlage im Sinne des Art 6 Abs 1 lit c DSGVO für diese Datentransfers.

ErwGr 7 hält dabei zunächst fest dass der Data Act keine Rechtsgrundlage für die Erhebung und Generierung personenbezogener Daten durch den Dateninhaber bildet. Diese logische Erkenntnis stellt lediglich klar, dass es für die Erhebung von personenbezogene Daten durch den Dateninhaber einer Rechtsgrundlage (im Sinne des Art 6 bzw (auch) Art 9 DSGVO bedarf).

‍
Sehr wohl aber dürfte die Datenübermittlung vom Dateninhaber an den Nutzer gerechtfertigt sein, sofern dessen personenbezogene Daten verarbeitet werden. In diesen Fällen ist das Bereitstellungsverfahren wohl als konkludente Einwilligung nach Art 6 Abs 1 lit a DSGVO zu qualifizieren. Diese Einschätzung ergibt sich auch aus einen Umkehrschluss des Satzes: „Handelt es sich bei dem Nutzer nicht um die betroffene Person, so bietet die vorliegende Verordnung keine Rechtsgrundlage für die Gewährung des Zugangs zu personenbezogenen Daten oder für deren Bereitstellung an Dritte…“.

Damit geht aber gleichzeitig die Frage einher: Wie soll nun den Datentransfer vom Dateninhaber an einen Dritten gerechtfertigt werden?

Als diesbezügliche Rechtsgrundlage kommt zunächst Art 6 Abs 1 lit f DSGVO, das überwiegend berechtigte Interesse, in Betracht. In der Literatur wird betont, dass der Data Act auch hinsichtlich dieses Datentransfers ein berechtigtes Interesse zum Ausdruck bringt. Letztlich verbleibt jedoch eine Unsicherheit, ob Art 6 Abs 1 lit f DSGVO tatsächlich eine rechtskonforme Rechtsgrundlage für den Datentransfer vom Dateninhaber an einen Dritten legitimiert. An dieser Stelle soll daran erinnert werden, dass die Rechtsgrundlage des berechtigten Interesses nicht greift, wenn besonders schützenswerte Daten verarbeitet werden.

Die Frage nach der datenschutzrechtlichen Rollenverteilung

Spannend ist weiters die Frage nach der datenschutzrechtlichen Rollenverteilung zwischen dem Dateninhaber und dem Nutzer bzw dem Datenempfänger. Hier wäre denkbar, dass „Joint Controllership“ und/oder „Auftragsverarbeiterverhältnisse“ vorliegen. In der Konsequenz müsste eine Vereinbarung nach Art 26 DSGVO oder aber ein Auftragsverarbeitervertrag nach Art 28 DSGVO abgeschlossen werden.

‍
Wenn jedoch der Datenempfänger gänzlich eigene Zwecke verfolgt, wird dieser als (selbstständiger) Datenverantwortlicher zu qualifizieren sein.

Abschließend ist auf die Bestimmung des Art 37 Abs 3 Data Act bzw auf Erwägungsgrund 107 hinzuweisen. Demnach ist die Datenschutzbehörde bezüglich des Schutzes personenbezogener Dten auch für die Überwachung der Anwendung des Data Acts zuständig. Zum heutigen Stichtag ist noch unklar, welche Behörde konkret zuständig sein wird.

Bei tiefergehendem Interesse darf ich Ihnen den Onlnine-Kurs "Data Act" empfehlen.

‍