Blog-Übersicht
IT-Recht: Der Data-Act und die DSGVO - ein schwieriges Verhältnis
Der Data Act und die DSGVO: Ein komplexes Zusammenspiel von Datenschutz und Datenverfügbarkeit
Mit der Einführung des Data Acts schafft die EU neue Regelungen, die den Zugang und die Nutzung von Daten in Europa vereinfachen sollen. Gleichzeitig besteht bereits seit Jahren die Datenschutz-Grundverordnung (DSGVO), die einen restriktiven Umgang mit personenbezogenen Daten vorschreibt. Diese zwei Regelwerke verfolgen auf den ersten Blick unterschiedliche Ziele: Die DSGVO strebt Datensparsamkeit und strikten Schutz personenbezogener Daten an, während der Data Act den freien Fluss von Daten fördern möchte. Daraus ergibt sich ein Spannungsverhältnis, das es zu beleuchten gilt.
Das Verhältnis zwischen Data Act und DSGVO
Der Data Act nimmt sowohl personenbezogene als auch nicht-personenbezogene Daten in den Blick. Dies wird in Art. 1 Abs. 2 des Data Acts klargestellt. Für die Praxis stellt sich jedoch die Frage, wie dieses Regelwerk mit der DSGVO harmoniert, die auf strikte Einschränkungen im Umgang mit personenbezogenen Daten setzt.
Der Data Act ergänzt die Betroffenenrechte der DSGVO, wie aus Erwägungsgrund 7 hervorgeht. Wichtig dabei: Im Falle eines Widerspruchs zwischen beiden Regelwerken hat die DSGVO Vorrang (Art. 1 Abs. 5 Data Act). Das bedeutet, dass der Schutz personenbezogener Daten unter keinen Umständen abgeschwächt oder eingeschränkt werden darf.
Herausforderungen durch gemischte Datensätze
In der Praxis stellen gemischte Datensätze, die sowohl personenbezogene als auch nicht-personenbezogene Daten enthalten, eine besondere Herausforderung dar. Aufgrund der weiten Auslegung des Begriffs der personenbezogenen Daten durch den Europäischen Gerichtshof (EuGH) fallen viele der von IoT-Produkten und vernetzten Diensten generierten Daten unter den Anwendungsbereich der DSGVO. Dies führt zu einer engen Verzahnung beider Regelwerke, was die Datenverarbeitung im Rahmen des Data Acts oft erschwert.
Rechtsgrundlagen für die Erhebung und Weitergabe personenbezogener Daten
Ein wichtiger Punkt, der in Erwägungsgrund 7 des Data Acts klargestellt wird, ist, dass der Data Act keine Rechtsgrundlage für die Erhebung oder Generierung personenbezogener Daten darstellt. Er schafft jedoch einen legitimen Rahmen für die Weitergabe dieser Daten, sofern die betroffene Person die Herausgabe verlangt. In solchen Fällen kann die Herausgabe als konkludente Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO gewertet werden.
Wenn jedoch der Nutzer nicht selbst die betroffene Person ist, bietet der Data Act keine Grundlage für den Zugang oder die Weitergabe personenbezogener Daten an Dritte. Hier muss eine Interessenabwägung im Sinne von Art. 6 Abs. 1 lit. f DSGVO erfolgen. Das berechtigte Interesse des Nutzers spielt dabei eine wichtige Rolle, insbesondere wenn es um die Nutzung der Daten für legitime Zwecke wie das Training von KI-Modellen geht. Dennoch bleibt die Frage offen, inwieweit Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage im Zusammenhang mit dem Data Act herangezogen werden kann.
Datenschutzrechtliche Rollenverteilung und Verantwortlichkeiten
Die Frage der datenschutzrechtlichen Verantwortlichkeiten zwischen dem Dateninhaber, dem Nutzer und dem Datenempfänger ist ebenfalls ein zentrales Thema. Es ist denkbar, dass in bestimmten Konstellationen eine gemeinsame Verantwortlichkeit ("Joint Controllership") oder ein Auftragsverarbeitungsverhältnis besteht. In diesen Fällen müssen Vereinbarungen gemäß Art. 26 DSGVO oder Auftragsverarbeiterverträge gemäß Art. 28 DSGVO abgeschlossen werden. Verfolgt der Datenempfänger jedoch eigene Zwecke, ist dieser als eigenständiger Verantwortlicher zu qualifizieren.
Überwachung durch die Datenschutzbehörde
Abschließend ist noch zu erwähnen, dass gemäß Art. 37 Abs. 3 Data Act die Datenschutzbehörden auch für die Überwachung der Einhaltung des Data Acts in Bezug auf den Schutz personenbezogener Daten zuständig sind. Dies zeigt, dass der Datenschutz auch im Rahmen des Data Acts ein zentrales Thema bleibt.
Fazit
Das Zusammenspiel von Data Act und DSGVO verdeutlicht die komplexe Balance zwischen dem Schutz personenbezogener Daten und der Förderung eines freien Datenflusses. Während der Data Act den Zugang zu Daten liberalisieren will, bleibt die DSGVO die maßgebliche Regelung, wenn es um den Schutz der Privatsphäre geht. Für Unternehmen und Datenverantwortliche bedeutet dies, dass sie beide Regelwerke genau kennen und in ihren Prozessen integrieren müssen, um rechtliche Unsicherheiten zu vermeiden. Die richtige Anwendung der DSGVO bleibt weiterhin entscheidend, insbesondere in Fällen, in denen personenbezogene Daten involviert sind.
Blog-Übersicht