Jun52024
EU Data Act und Datenschutz (DSGVO)

Der EU Data Act: Ein umfassender Überblick aus Datenschutzperspektive

Der EU Data Act, der am 11. Januar 2024 in Kraft trat und ab dem 12. September 2025 gültig ist, verfolgt das Ziel, den Zugang zu und die Nutzung von Daten in der Europäischen Union zu regeln. Er zielt darauf ab, einen fairen Datenzugang und eine gleichberechtigte Datennutzung zu gewährleisten, um Innovation und Wettbewerb zu fördern. Die Verordnung gilt für personenbezogene und nicht-personenbezogene Daten und schafft klare Regeln für die Datenweitergabe zwischen Unternehmen sowie zwischen Unternehmen und Verbrauchern.

Im Folgenden werden die datenschutzrelevanten Inhalte des Data Act detailliert dargestellt.

Datenschutzrelevante Themen im Data Act

Kapitel 1: Allgemeine Bestimmungen

Geltungsbereich und Vorrang der DSGVO:

  • Artikel 1 Absatz 2: Der Data Act gilt sowohl für personenbezogene als auch nicht-personenbezogene Daten, jedoch werden einige Kapitel benannt, die nur bedingt auf personenbezogene Daten Anwendung finden.
  • Artikel 1 Absatz 5: Bei der Verarbeitung personenbezogener Daten hat die Datenschutz-Grundverordnung (DSGVO) Vorrang vor dem Data Act.

Kapitel 2: Datenweitergabe von Unternehmen an Verbraucher und zwischen Unternehmen

(gilt für Daten, mit Ausnahme von Inhalten, die die Leistung, Nutzung und Umgebung von vernetzten Produkten und verbundenen Diensten betreffen)

Kostenloses Zugangsrecht und erweiterte Informationspflichten::

  • Artikel 3 Absatz 1: Nutzer haben das Recht auf kostenlosen direkten Zugang zu Produkt- und Dienstdaten.
  • Artikel 3 Absätze 2 und 3: Nutzer müssen Informiert werden, wie und in welchem Umfang das Zugangsrecht wahrgenommen werden kann und wie Daten generiert werden. Diese Pflicht gilt gegen über natürlichen juristischen Personen. In gewisser Form wird damit auch die Informationspflicht aus der DSGVO gegenüber betroffen Personen erweitern, wenn es sich um personenbezogene Daten handelt.

Zugangsrecht in Echtzeit und Einschränkungen:

  • Artikel 4 Absatz 1: Das Zugangsrecht muss in Echtzeit erfolgen. Wenn der Zugriff nicht auf demselben Gerät möglich ist (z.B. bei einem Smart-Home Gerät wie eine Alexa), muss eine alternative, leicht zugängliche Form bereitgestellt werden.
  • Artikel 4 Absatz 2: Das Zugangsrecht kann eingeschränkt werden, wenn dies zu schwerwiegenden nachteiligen Auswirkungen auf die Gesundheit oder Sicherheit natürlicher Personen führen könnte. Diese Einschränkungen müssen der zuständigen Aufsichtsbehörde mitgeteilt werden.

Nicht-Dokumentation des Zugangsrechts:

  • Artikel 4 Absatz 5: Die Wahrnehmung des Zugangsrechts darf nicht dokumentiert werden, es sei denn, es ist für die Ausführung des Zugangsverlangens oder die Sicherheit und Pflege der Dateninfrastruktur erforderlich.

Rechtsgrundlagen für die Weitergabe personenbezogener Daten:

  • Artikel 4 Absatz 12: Wenn Zugang zu Produkt- und Dienstdaten gewährt wird und es sich nicht um Daten der betroffenen und anfragenden Person selbst handelt, dürfen personenbezogene Daten nur nach den Rechtsgrundlagen der Artikel 6 und gegebenenfalls Artikel 9 DSGVO sowie Artikel 5 der Richtlinie 2002/58/EG weitergegeben werden. Dies gilt auch bei Weitergabe an Dritte im Sinne von Artikel 5 Absatz 1 des Data Act.

Recht auf Weitergabe an Dritte:

  • Artikel 5 Absatz 1: Nutzer haben das Recht, die Weitergabe von Daten (inklusive Metadaten) an Dritte zu verlangen. Die Daten müssen unentgeltlich, umfassend, strukturiert, in einem gängigen und maschinenlesbaren Format und, soweit relevant und technisch durchführbar, kontinuierlich und in Echtzeit bereitgestellt werden.
  • Artikel 5 Absatz 2: Torwächter (digitale Plattformdienste mit erheblichen Einfluss auf den Binnenmarkt im Sinn des Digital Markets Act) sind nicht berechtigt, Daten zu erhalten oder von Nutzern anzufragen und gelten nicht als Dritte im Sinne von Artikel 5 Absatz 1.
  • Artikel 5 Absätze 8 und 13: Die Betroffenenrechte und insbesondere das Recht auf Datenübertragbarkeit an einen Dritten gemäß Artikel 20 DSGVO gelten weiterhin und dürfen nicht durch die Regeln des Data Act beeinträchtigt werden.

Regelungen für Dritte, die Daten erhalten:

  • Artikel 6 Absatz 1: Regelungen wie Zweckbindung, Vertragspflichten, Betroffenenrechte, Löschpflichten etc. aus dem Data Act gelten parallel zur DSGVO.
    • a. Entscheidungen der Nutzer, wie und ob Daten an Dritte weitergegeben werden, dürfen nicht manipuliert oder erzwungen werden.
    • b. Profiling mit den Daten ist verboten, es sei denn, es ist zur Erbringung der vom Nutzer geforderten Dienste erforderlich.
    • c. Nutzer müssen der Datenweitergabe an weitere Dritte im Vertrag zustimmen, und die weiteren Dritten müssen gleichwertigen technischen und organisatorischen Maßnahmen (TOMs) umsetzen.
    • d. Keine Weitergabe an Torwächter.
    • e. Verbraucher dürfen nicht daran gehindert werden, die Daten auch an andere Parteien weiterzugeben.

Ausnahmen für Kleinst-, Klein- und mittlere Unternehmen:

  • Artikel 7 Absatz 1: Kleinst- und Kleinunternehmen sowie mittlere Unternehmen, die seit weniger als einem Jahr als solche gelten, sind von den Regeln der Artikel 3 bis 6 ausgenommen, solange sie nicht als Partnerunternehmen, in einem Unternehmensverbund größerer Größe oder als Unterauftragnehmer mit der Herstellung oder Konzeption eines vernetzten Produkts oder der Erbringung eines verbundenen Dienstes beauftragt wurden.

Kapitel 3: Pflichten der Dateninhaber

(gilt für alle Daten des Privatsektors, die rechtlichen Verpflichtungen mit Blick auf die Datenweitergabe unterliegen)

Datenweitergabe auf Vertragsbasis:

  • Artikel 8 Absatz 1: Die Datenweitergabe an Datenempfänger muss auf Grundlage eines fairen, angemessenen und nichtdiskriminierenden Vertrags erfolgen.
    Vertragsklauseln mit Datenempfängern, die die Rechte der Nutzer zu deren Nachteil einschränken, sind nicht bindend.
  • Artikel 9: Für die Datenweitergabe dürfen Gegenleistungen mit einer Marge verlangt werden.

Schutzmaßnahmen:

  • Artikel 11 Absatz 1: Dateninhaber „können“ geeignete technische Schutzmaßnahmen einleiten. Diese Schutzmaßnahmen dürfen Datenempfänger nicht unterschiedlich behandeln und Nutzer nicht an der Ausübung ihrer Rechte hindern. Nutzer, Dritte und Datenempfänger dürfen diese Schutzmaßnahmen nicht ohne Zustimmung des Dateninhabers aufheben.
  • Artikel 11 Absatz 2c und 2d: Dritten oder Datenempfängern, die Daten unbefugter genutzt oder offengelegt haben, müssen den Nutzer hierrüber unterrichtet. Jedoch nur, wenn dies auf Anforderung des Dateninhabers, Geschäftsgeheimnisinhabers oder Nutzers erfolgt. Eine Benachrichtigungspflicht, wie in Art. 34 DSGVO ist im Data Act nicht explizit vorgesehen, gilt jedoch für personenbezogenen Daten weiterhin, wenn es sich bei den Dritten oder Datenempfängern um eigenständige Verantwortliche handelt.
  • Artikel 11 Absatz 4: Die Pflicht zur Unterrichtung auf Anforderung gilt auch, wenn Schutzmaßnahmen von den Dritten oder Datenempfängern umgangen wurden oder nicht aufrechterhalten wurden.
  • Artikel 11 Absatz 5: Wenn Nutzern ihre Wahlmöglichkeiten oder Rechte aus Artikel 5 nicht oder nur übermäßig erschwert zur Verfügung gestellt werden oder die Daten für ein Profiling genutzt werden, welches nicht zur Bereitstellung eines vom Nutzer angeforderten Dienstes erforderlich ist, können Nutzer die Rechte eines Dateninhabers geltend machen und von Dritten und Datenempfängern verlangen:
    • dass Daten und deren Kopien gelöscht werden,
    • dass das Herstellen, Anbieten, Inverkehrbringen oder Verwenden von Waren, abgeleiteten Daten oder Dienstleistungen, die auf den mit den Daten erlangten Kenntnissen beruhen, eingestellt wird und alle rechtsverletzenden Waren zu vernichten, wenn hierdurch die Gefahr besteht, dass den Nutzern ein erheblicher Schaden entsteht,
    • die Nutzer über die unbefugte Nutzung und Offenlegungen der Daten unterrichtet werden, ebenso über getroffene Gegenmaßnahmen
    • Ersatz der hierdurch aufgetreten Schäden

Kapitel 5: Bereitstellung von Daten für öffentliche Stellen

(gilt für alle Daten des Privatsektors mit Schwerpunkt auf nicht-personenbezogenen Daten)

Datenanforderungen in Notfällen:

  • Artikel 15: Öffentliche Stellen und Stellen der Union können im Falle eines Notstandes Daten verlangen, die auch personenbezogene Daten enthalten können. Diese Maßnahmen müssen zeitlich beschränkt sein und zur Bewältigung des Notstandes auf andere Weise nicht rechtzeitig und wirksam beschafft werden können. Die Maßnahmen muss jedoch zeitlich beschränkt sein und zur Bewältigung des Notstandes auf andere Weise nicht rechtzeitig und wirksam beschafft werden können. 
  • Artikel 17 Absatz 1c, 1d und 1g: Falls personenbezogene Daten verlangt werden, müssen die anfragenden Stellen den Zweck des Verlangens, die beabsichtigte Nutzung, die Weitergabe an Dritte, die Dauer der Nutzung, deren Löschung und alle technischen und organisatorischen Maßnahmen angeben, die zur Umsetzung der Datenschutzgrundsätze und erforderlichen Garantien erforderlich und verhältnismäßig sind.
  • Artikel 17 Absatz 2i: Das Verlangen der Daten muss von der öffentlichen Stelle oder der Stelle der Union der zuständigen Datenschutzaufsichtsbehörde gemeldet werden.
  • Artikel 18 Absatz 4: Personenbezogene Daten sind vor der Weitergabe an öffentliche Stellen zu anonymisieren. Sind die personenbezogenen Daten zur Erreichung der Zwecke erforderlich, sind die Daten vor Weitergabe zu pseudonymisieren.

Kapitel 6: Wechsel zwischen Datenverarbeitungsdienste

(gilt für alle von Anbietern von Datenverarbeitungsdiensten verarbeiteten Daten und Dienste)

Anbieterwechsel und Datenübertragung:

  • Artikel 26: Kunden sind über verfügbare Verfahren für den Anbieterwechsel und die Datenübertragung, einschließlich der Übertragungsmethode und Formate, zu unterrichten.
  • Artikel 29: Die Durchführung eines Anbieterwechsels kann bis zum 12. Januar 2027 kostenpflichtig sein.

Kapitel 9: Anwendung und Durchsetzung

Aufsichtsbehörden und Sanktionen:

  • Artikel 37 Absatz 3: Datenschutzaufsichtsbehörden sind auch für die Verarbeitung personenbezogener Daten im Rahmen des Data Act zuständig.
  • Artikel 37 Absatz 14: Die zuständigen Behörden, die den Data Act überwachen, können Informationen von Nutzern anfordern, um die Einhaltung der Verordnung zu überwachen. Nutzer könne dabei auch betroffene Personen im Sinne der DSGVO sein. Die DSGVO sieht hiergegen jedoch kein Recht der Aufsichtsbehörden vor, Informationen bei betroffenen Personen einzuholen.
  • Artikel 40 Absatz 4: Verstöße gegen den Data Act sollen angelehnt an die Bußgelder des Art. 83 Abs. 5 DSGVO verhängt werden. (Bußgeldern bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes).

Autor: Michael Konitzer

Artikel erstellt am 05.06.2024

Kommentar hinterlassen

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Pflichtfelder sind mit * markiert.

Beitragskommentare