Data Act Und DSGVO
Für mehr Rechtsklarheit bei Datenzugang und Datennutzung
Gemeinsames Positionspapier
Download PDF
WORUM GEHT ES?
Mit dem Data Act soll ein für die gesamte EU geltender rechtlicher Rahmen für das Nutzen und Teilen von Daten geschaffen werden. Ziel der EU-Kommission ist es, mit dem Entwurf für alle Akteure in der wirtschaftlichen Wertschöpfungskette den Austausch und die Nutzung von Daten zu verbessern oder überhaupt erst zu ermöglichen.
Dabei sieht der Data Act vor, dass die DSGVO unberührt bleibt und daher ihre Regelungen weiterhin ohne Einschränkung gelten, wenn es sich um personenbezogene Daten handelt. Damit werden für die bestehenden offenen Fragen im Datenschutz nicht nur keine Lösungen angeboten: Vielmehr drohen sich Rechtsunsicherheiten noch zu verschärfen.
Für die Wettbewerbsfähigkeit in der vernetzten Welt spielen die gemeinsame Nutzung und der Austausch von Daten auch zwischen Unternehmen eine entscheidende Rolle. Durch die bessere Nutzung von Daten können innovative Geschäftsmodelle generiert und Prozesse effizienter gestaltet werden. Betriebe hierzulande stoßen dabei jedoch häufig auf Hindernisse. Dabei spielt die Frage nach den Verknüpfungen aus DSGVO und dem kommenden Data Act ebenso eine Rolle wie die schiere Vielzahl an neuen Rechtsakten, darunter der Digital Services Act, der Digital Markets Act sowie der noch ausstehende Artificial Intelligence Act.
Insbesondere KMU werden von der Vielfalt und der Detailtiefe der neuen Regel und den damit verbundenen Prüfaufwänden überfordert sein. Hinzu kommen noch offene Fragen bei der einheitlichen Auslegung der DSGVO, ausstehende Anpassungen im BDSG sowie bürokratische Überforderungen durch Doppelaufwände. Die kürzlich erschienene Studie des Instituts der Deutschen Wirtschaft Köln verdeutlicht zudem, dass 71 Prozent der Unternehmen in Deutschland nicht die Voraussetzungen erfüllen, um ihre Daten effizient bewirtschaften zu können*. Neben dem Datenschutz warten also noch weitere Herausforderungen auf die deutsche Wirtschaft.
Unter anderem folgende datenschutzrechtliche Unklarheiten ergeben sich im Zusammenhang mit dem derzeitigen Entwurf zum Data Act.
* Fußnote
Büchel, Engels: Datenbewirtschaftung von Unternehmen in Deutschland. IW Köln, April 2022, https://www.iwkoeln.de/studien/datenbewirtschaftung-von-unternehmen-in-deutschland.html
Viele Daten werden in befragten Unternehmen überhaupt nicht digital gespeichert oder werden gar nicht erst erhoben. Dagegen zeigt die Studie, dass viele Unternehmen jedoch eine Strategie der Datennutzung und die entsprechenden datenschutzrechtlichen Herausforderungen geklärt haben.
Abgrenzung personenbezogene Daten und nicht-personenbezogene Daten
Personenbezogene Daten und nicht-personenbezogene Daten lassen sich in der Praxis häufig nicht einfach trennen. Denn bereits die Abgrenzung, ob es sich um ein personenbezogenes Datum handelt oder nicht, ist nicht eindeutig. In Erwägungsgrund 30 des Data Act heißt es, dass die DSGVO auch dann gelten soll, wenn personenbezogene und nicht-personenbezogene Daten in einem Datensatz untrennbar miteinander verbunden sind. Personenbezogene Daten dürfen jedoch nicht ohne Rechtsgrundlage und Zweckbindung an Dritte weitergegeben werden. Es stellt sich daher die Frage, ob die Art. 4 (1), 5 (1) des Data Act Entwurfs ausreichende Rechtsgrundlagen im datenschutzrechtlichen Sinne formulieren.
Ein Beispiel
Ein bekanntes Beispiel sind die Energieverbrauchs- und Ablesedaten sowohl von Smart-Meter-Geräten als auch aus konventionellen Zählern. Als persönliche Verbrauchskurve sind diese Daten personenbezogen. Im technischen Massendatenaustausch sind sie jedoch hinter anonymen Gerätenummern verborgen und frei von jeglichen Orts- und Personendaten. Insbesondere wenn es sich – wie meistens – um Monats- und Jahreswerte handelt, ist keine Rückverfolgung möglich. Ungeachtet dessen erachten viele Datenschützer diese Daten als personenbezogen und damit verstärkt löschpflichtig, während die Fachaufsichten und Finanzbehörden von der üblichen 10-Jahres-Aufbewahrung ausgehen. Auch bei dem anzuwendenden Verschlüsselungsaufwand (z. B. Schlüssellänge) gibt es keine einheitliche Vorgabe. Der geplante Data Act verschärft diese Frage, da alle Daten des elektronischen Messwesens maschinengeneriert sind und damit unter Anwendung des Data Act offengelegt werden dürfen bzw. müssen. Die Klärung dieses Haftungsrisikos setzt eine Konsensbildung zwischen noch nicht kohärent handelnden Behörden voraus.
Was ist für die Wirtschaft nun wichtig?
Eine zwingende Erfolgsvoraussetzung für den Data Act ist es, bereits im Vorfeld Rechtssicherheit durch den Gesetzgeber zu schaffen und nicht – wie in der DSGVO – auf eine spätere klarstellende Rechtsprechung zu warten. Ohne Klarheit beim Anwendungsbeginn des neuen Datenrechts besteht die Gefahr, dass besonders in Konstellationen, in denen keine Abgrenzung bzw. Trennung zwischen personenbezogenen und nicht-personenbezogenen Daten möglich ist, die Ziele des Data Acts von vorneherein ins Leere laufen. Es ist im bisherigen Entwurf noch zu präzisieren, was als personenbezogen gilt und welche Daten des Unternehmens als schützenswert im Sinne eines Geschäftsgeheimnisses gelten.
Klarstellung des Verhältnisses zwischen Datenzugangsrechten und Datenübertragungsrechten
Mit dem Data Act sollen Nutzende Zugang zu Daten erhalten, an deren Generierung sie beteiligt waren. Sie können dabei entweder eine Übertragung der mitgenerierten Daten an sich oder an Dritte fordern. Vergleichbare Ansprüche haben Personen bereits aus dem datenschutzrechtlichen Recht auf Datenübertragbarkeit und Datenübermittlung. Dieser seit 2018 für Nutzende bestehende Übertragungsanspruch aus Art. 20 DSGVO wird bislang jedoch fast nicht genutzt – entweder wegen fehlender Bekanntheit des Rechts oder wegen fehlender Möglichkeiten zur Verwendung der Daten in anders aufgebauten Systemen anderer Anbieter. Auch steht einer solchen Datenübertragung oft entgegen, dass sich die zu übertragenden Daten zugleich auf andere Personen beziehen. Diese Problematik wird sich beim Data Act in gleicher Weise ergeben, da auch vom dort vorgesehenen Datenzugangsrecht Daten mit Bezug zu anderen Personen umfasst sein können.
Ein Beispiel
Eine Verbraucherin möchte ihre Daten von einem Messengerdienst A an Messengerdienst B mitnehmen. Wenn jedoch die Systeme der beiden Anbieter die portierten Daten nicht in gleichem Format verarbeiten können, scheiterte bislang die Mitnahme. Zukünftig will sie ihren Übertragungsanspruch für die Daten auch auf den Data Act stützen. Wie eine Kombination von Datenübertragungsansprüchen nach der DSGVO und Datenzugangsansprüchen nach dem Data Act praktisch umgesetzt werden kann, ist noch unklar.
Was ist für die Wirtschaft nun wichtig?
Rechtliche Aspekte sind im Entwurf zur Datenzugangsregulierung auch hinsichtlich der Interoperabilität zu klären: Ähnlich wie bei der Regelung der Datenportabilität aus der DSGVO braucht es rechtliche und technische Vorgaben, in welcher Weise die Daten übertragen werden können. Voraussetzung dafür ist es, auch die Art der Daten zu klären.
Fehlende rechtssichere Anonymisierungstechniken
Die Rechtssicherheit auch beim Anonymisieren von personenbezogenen Daten ist eine weitere entscheidende Voraussetzung für die politisch angestrebte Kultur stärkerer Datennutzung. Eine hohe Datenverfügbarkeit wird nicht erreicht, solange beim Entfernen des Personenbezuges für die datenschutzrechtlich verantwortlichen Unternehmen hohe Unsicherheiten verbleiben. Es braucht Klarheit über das zu gewährleistende Maß an Anonymität und praktische Leitlinien zum konkreten Vorgehen beim Herstellen eines belastbaren Anonymitätsgrades.
Derzeit fehlt es jedoch an klaren Maßgaben zu rechtsicheren Anonymisierungsverfahren. Der Data Act-Entwurf schweigt zur Frage, wann personenbezogene Daten als hinreichend anonymisiert gelten.
Was ist für die Wirtschaft nun wichtig?
Eine rechtssichere Anonymisierung ist ein wichtiger Baustein, um die Datenteilung zu fördern. Die neuen Datenrechtsakte der EU sollten durch Standards zur Anonymisierung begleitet werden.