Der Data-Act-Entwurf gilt zusätzlich zur DSGVO und lässt diese unberührt. Er ist nicht ausreichend mit ihr abgestimmt.
Das Europäische Parlament hat am 9. November 2023 den zuvor mit dem Rat im informellen Trilog abgestimmten Data Act mit großer Mehrheit verabschiedet (Text des Data Acts). Der Data Act soll erstmals einen Rahmen für das Datenteilen im europäischen Binnenmarkt schaffen. Damit steht er im natürlichen Gegensatz zu dem traditionellen Datenschutzverständnis, das auf Datensparsamkeit und das Vermeiden einer Weiterverbreitung von Daten abzielt. Löst der Data Act diese Probleme selbst oder erzeugt er vielmehr Widersprüche und Unklarheiten?
Große Überschneidungen zwischen Data Act und DSGVO
Das Datenteilen soll der Data Act durch zahlreiche Regelungen befeuern.
Zuerst müssen Dateninhaber:innen (i.d.R. Produkthersteller) die Daten den Nutzer:innen bereitstellen, die bei der Nutzung eines gekauften, geleasten oder gemieteten Produktes generiert werden. Zweitens müssen Dateninhaber:innen auf Nutzerwunsch die Daten unmittelbar Dritten bereitstellen.
Diese zwei Nutzerrechte sichert der Data Act durch ein ganzes Maßnahmenbündel ab, das zudem das Datenteilen aufgrund anderer Gesetze auf solide Füße stellen soll. Bei jedem Kauf oder jeder Miete eines datengenerierenden Produkts müssen Nutzer:innen über ihre Datenzugangs- und Datenweitergaberechte informiert werden. Die Datenweitergabe zwischen Dateninhaber:innen und Dritten ist durch zahlreiche weitere Regelungen normiert, insb. durch Pflichten des Dateninhabers beim Datenzugang, durch ein Verbot unbilliger Bestimmungen und durch Anforderungen an den Wechsel zwischen Datenverarbeitungsdiensten:
Dabei gilt der Data Act für Daten jeder Art, die Nutzer:innen bei der Produktnutzung absichtlich oder nebenbei erzeugen (Art. 2 Nr. 1 Data Act). Ebenfalls erfasst sind Daten, die durch einen mit dem Produkt eng verbundenen Dienst erzeugt werden (z.B. eine virtuelle Assistenz auf einem Smartspeaker). Für rein digitale Dienste gilt der Data Act dagegen nicht.
Selbst wenn der Data Act auch nicht personenbezogene Daten erfasst, sind die meisten der durch bestimmte Nutzer:innen erzeugten Daten personenbezogene Daten. So werden sich z.B. die durch vernetzte Pkw, IoT-Geräte und sonstige Konsumgüter erzeugten Daten typischerweise einer identifizierbaren Person zuordnen lassen und sind daher personenbezogene Daten. Damit unterfallen sie der EU-Datenschutz-Grundverordnung (DSGVO).
Scheinlösung durch Unberührtheitsklausel
Die DSGVO soll durch den Data Act „unberührt“ bleiben; die DSGVO soll Vorrang vor dem Data Act haben (Art. 1 Abs. 5, Erwägungsgrund 7 S. 5 Data Act).
Daher sollen Data Act und DSGVO wohl so ausgelegt werden, dass sie sich möglichst ergänzen und durch gegenseitige Rücksichtnahme schonend in Ausgleich gebracht werden. Dabei gibt der Data Act nur wenige Hinweise, wie beide Regelungsregime in Ausgleich gebracht werden können. Diese Problemvermeidungsstrategie führt zu Rechtsunsicherheit.
Die nächsten drei Abschnitte diskutieren das Verhältnis zwischen Data Act und DSGVO für drei besonders praxisrelevante mögliche Konfliktherde: das Nutzerrecht auf Datenzugang, das Nutzerrecht auf Datenweitergabe an Dritte und die Informationspflichten gegenüber Nutzer:innen.
Nutzerrecht auf Datenzugang
Zentrales Nutzerrecht des Data Acts ist das Recht auf Datenzugang. Dateninhaber:innen müssen Nutzer:innen auf deren Wunsch die produktgenerierten Daten bereitstellen (Art. 4 Data Act).
Das Nutzerrecht auf Datenzugang ergänzt das Auskunftsrecht für personenbezogene Daten nach Art. 15 DSGVO. Es geht allerdings darüber hinaus. Erstens erfasst es auch nicht personenbezogene Daten, wobei wie oben dargestellt die meisten erfassten produktgenerierten Daten ohnehin personenbezogen sind. Zweitens erfasst es soweit möglich einen Datenzugang in Echtzeit. Drittens kann es jede:r Nutzer:in ausüben, nicht nur die Person, auf die sich die personenbezogenen Daten beziehen (sog. betroffene Person). Nutzer:in ist die natürliche oder juristische Person, die das Produkt gemietet oder gekauft hat (d.h. auch Unternehmen, die datengenerierende Produkte kaufen).
Doch verfügen Dateninhaber:innen nach Art. 6 DSGVO überhaupt über eine Rechtsgrundlage, um Nutzer:innen Datenzugang zu gewähren?
Wenn die betroffene Person selbst Nutzer:in ist (z.B. bei B2C-Geschäften), scheint dies zunächst unproblematisch. Dateninhaber:innen können sich dann auf die Rechtsgrundlage „Erfüllung einer rechtlichen Verpflichtung“ stützen (Art. 6 Abs. 1 lit. c DSGVO, Art. 4 Data Act). Ungeklärt ist, ob dies für die personenbezogenen Daten von Familienangehörigen gilt (z.B. beim vernetzten Familienkühlschrank). Eventuell können Dateninhaber:innen hier wegen der sog. Haushaltsausausnahme der DSGVO (Art. 2 Abs. 2 lit. b DSGVO) auch personenbezogene Daten von Familienangehörigen offenlegen, wobei sich der Data Act mit diesem Problem nicht auseinandersetzt.
Zudem ist unklar, ob Dateninhaber:innen Datenzugang gewähren dürfen, wenn die Nutzer:innen selbst juristische Personen sind (z.B. eine arbeitgebende Person, die den vernetzten Dienstwagen gekauft hat und damit Nutzer:in ist). Der Data Act hält dazu fest, dass in diesem Fall eine gültige Rechtsgrundlage nach Art. 6 DSGVO erforderlich ist (Art. 4 Abs. 12 Data Act). Als Rechtsgrundlage werden wohl neben der Einwilligung vor allem die Vertragserfüllung nach Art. 6 Abs. 1 lit. b) DSGVO in Betracht kommen (Erwägungsgrund 34 S. 8 Data Act). Um die Rechtsgrundlage der berechtigten Interessen zu nutzen, müssen Nutzer:innen ihre berechtigten Interessen gegen die Interessen der betroffenen Personen abwägen. Für diese stark einzelfallbezogene Interessenabwägung regelt der Data Act leider keine zulässigen Fallgruppen und gibt auch sonst keine Hilfestellung.
Nutzerrecht auf Datenweitergabe an Dritte
Das zweite zentrale Nutzerrecht ist das Recht auf Datenweitergabe (Art. 5 Data Act). Hiernach müssen Dateninhaber:innen den Datenzugang auch Dritten gewähren, wenn dies Nutzer:innen verlangen, oder Dritte bevollmächtigen. Dieses Nutzerrecht ergänzt das Recht auf Datenportabilität nach Art. 20 DSGVO, das ausdrücklich nicht verdrängt wird (Art. 1 Abs. 5 S. 3, Erwägungsgrund 31 S. 15 Data Act).
Anders als dieses sieht es eine direkte Weitergabe an den Dritten vor, nicht nur die Bereitstellung für die betroffene Person in einem maschinenlesbaren Format. Zudem gilt es auch für nicht personenbezogene produktgenerierte Daten (wobei produktgenerierte Daten i.d.R. auch personenbezogen sind). Das Recht auf Datenportabilität ist derzeit weitgehend totes Recht, da auch interoperable Formate nicht weitverbreitet sind. Daher widmet der Data Act der Interoperabilität ein ganzes Kapitel (Art. 33–36 Data Act). Wieder eingeschränkt wird das Recht auf Datenportabilität dadurch, dass Dritte (nicht Nutzer:innen) eine angemessene Gegenleistung zahlen müssen (Art. 9 Data Act).
Wenn Nutzer:innen juristische Personen sind (z.B. Arbeitgebende bei vernetzten Dienstwagen), ist genauso eine Rechtsgrundlage nach Art. 6 DSGVO erforderlich wie beim Recht auf Datenzugang (Art. 4 Abs. 12 Data Act). Auch insoweit besteht angesichts der unklaren Maßstäbe Rechtsunsicherheit.
Informationspflichten
Um die beiden Nutzerrechte abzusichern, müssen Nutzer:innen vor dem Abschluss eines Kauf- oder Mietvertrages diverse Informationen bereitgestellt werden. Dies beinhaltet insb. Art und Umfang der produktgenerierten Daten, wie die Nutzer:innen auf diese Daten zugreifen können und für welche Zwecke Dateninhaber:innen die produktgenerierten Daten nutzen werden (Art. 3 Abs. 2 Data Act).
Art. 3 Data Act soll zusätzlich zu den datenschutzrechtlichen Informationspflichten nach Art. 13, 14 DSGVO gelten (Erwägungsgrund 24 S. 7 Data Act).
Die bereitzustellenden Informationen überschneiden sich naturgemäß stark mit den Informationspflichten nach Art. 13, 14 DSGVO. Sie enthalten aber auch zusätzliche Informationen (z.B. ob Produkte Daten kontinuierlich generieren und die Nutzerrechte auszuüben sind). Zudem richten sie sich an Nutzer:innen die wie besprochen nicht mit den betroffenen Personen identisch sein müssen.
Die fehlende Abstimmung beider Informationskataloge könnte durch die zahlreichen Informationen zu noch mehr Überforderung bei Verbraucher:innen führen, wenn Unternehmen noch ein zusätzliches Dokument „Data Act Hinweise“ bereitstellen. Es könnte alternativ zukünftig zur Vermeidung von fehlerträchtigen Doppelungen sinnvoll sein, die Informationen nach dem Data Act in allgemeine Datenschutzhinweise zu integrieren.
Hoffnung auf Harmonisierung in Rechtsanwendung
Im Interesse der Rechtssicherheit ist zu hoffen, dass der Rechtsprechung später eine differenzierte Abstimmung der einzelnen Rechte und Pflichten des Data Acts mit der DSGVO gelingt. Dann könnte der Data Act sein Ziel des freien Verkehrs von Daten im europäischen Binnenmarkt, besser erreichen, welches das er im Übrigen auch mit der DSGVO teilt (Art. 1 Abs. 3 DSGVO). Bis dahin wird das Verhältnis zwischen DSGVO und Data Act allerdings für viele Diskussionen sorgen.
Mit unserer CMS Blog-Serie „#CMSdatalaw“ geben wir Ihnen einen Überblick über das Datenrecht wie z.B. den Data Act und den Data Governance Act. Den in unsere Blog-Serie einführenden Beitrag finden Sie hier. Besuchen Sie zum Datenrecht zudem gern unsere CMS Insight-Seite „Data Law“.
