Der DA - Einordnung und Hintergrund
Der DA ist eine EU-Initiative, die ergänzend zur Datenschutz-Grundverordnung (DS-GVO) wirkt. Er regelt den Zugang zu Daten, die von vernetzten Geräten erzeugt werden, und schafft damit neue Rechte für Nutzer und Dritte.
Ein Beispiel aus der Handreichung
Ein Fahrzeughalter möchte sein Auto in einer freien Werkstatt warten lassen und erlaubt dieser den Zugriff auf die vom Fahrzeug gesammelten Daten – unabhängig vom Hersteller. Dabei müssen im Einklang mit dem DA Werkstätten, auch freie Werkstätten die gleichen Chancen auf Datenzugang erhalten wie Vertragswerkstätten. (S. 2)
Der DA im Zusammenspiel mit der DS-GVO
Zu beachten gilt jedoch, dass so bald personenbezogene Daten betroffen sind, die DS-GVO Vorrang hat (Art. 1 Abs. 5 DA). Das bedeutet, ein Datenzugang darf nicht gegen die DS-GVO verstoßen. Der Zugang zu personenbezogenen Daten stellt nämlich eine Verarbeitung i.S.d. Art. 4 Nr. 2 DS-GVO dar. Entsprechend der DS-GVO ist eine Verarbeitung immer nur dann zulässig, wenn eine gesetzliche Rechtsgrundlage für die Verarbeitung vorliegt (Art. 5 Abs. 1 lit. a, Art. 6 DS-GVO). Dies könnte beispielsweise die Einwilligung der von der Verarbeitung Betroffenen sein.
Die Datenübertragbarkeit
Der DA ergänzt auch das Recht auf Datenübertragbarkeit der DS-GVO und bezieht sich zudem auf nichtpersonenbezogene Daten. Als eines der Beispiele nennt die Handreichung des HmbBfDI eine Laufuhr einer Sportlerin, welche Fitnessdaten speichert. Über eine Schnittstelle in einer App kann die Läuferin die Fitnessdaten abrufen. Dritte wie Fitnessstudios oder Versicherungen brauchen für den Zugriff auf diese Gesundheitsdaten jedoch eine DS-GVO-konforme Einwilligung der Sportlerin. Schnittstellen zu Dritten dürfen erst freigeschaltet werden, wenn die rechtlichen Voraussetzungen erfüllt sind. (S. 8 f.)
In der Praxis ist die Datenübertragbarkeit oft eingeschränkt, da Hersteller durch die technische Gestaltung vernetzter Produkte kontrollieren, welche Daten überhaupt erfasst und zugänglich gemacht werden – obwohl sie keinen Rechtsanspruch auf diese Daten haben (Erwg. 20 des DA). Der DA soll diese Hindernisse beseitigen, indem er vorschreibt, dass Daten standardisiert, sicher und ohne zusätzlichen Aufwand zugänglich gemacht werden müssen. Unternehmen sollten daher ein einheitliches Sicherheitskonzept entwickeln, das beiden Regelwerken gerecht wird.
Die Rolle des HmbBfDI
Der HmbBfDI hat die Handreichung „Der Data Act als Herausforderung für den Datenschutz“ veröffentlicht, um Unternehmen, Behörden und Nutzern bei der Umsetzung der neuen Pflichten und Rechte zu unterstützen. Die Handreichung erläutert die rechtlichen Grundlagen, gibt praktische Empfehlungen und klärt über Datenschutzpflichten auf.
Inhalte der Handreichung im Überblick
Anwendungsbereich prüfen
Zu Beginn geht die Handreichung auf den Anwendungsbereich des DA ein. Der DA gilt für vernetzte Produkte, die Daten über Leistung, Nutzung oder Umgebung erfassen und übertragen, beispielsweise über Internet, Kabel, Satellit oder Nahfeldkommunikation. Ausgenommen sind lediglich Prototypen. Solche Produkte sind heute in nahezu allen Lebensbereichen zu finden: etwa in Fahrzeugen, Haushaltsgeräten, medizinischen Geräten oder industriellen Anlagen.
Welche Daten offengelegt werden müssen, richtet sich im Einzelfall nach den jeweiligen Herstellern, Branchengesetzen oder Vorgaben von Behörden (siehe Erwägungsgrund 14 DA).
Insbesondere betrifft der DA Hersteller, Dateninhaber und Nutzer vernetzter Geräte. Darüber hinaus unterliegen auch Datenverarbeitungsdienste und Cloud-Anbieter besonderen Pflichten. In Ausnahmesituationen wie Naturkatastrophen dürfen Behörden unter bestimmten Bedingungen Daten anfordern, eine Regelung, die nahezu alle Unternehmen betreffen kann. Kleine Unternehmen sind jedoch laut Art. 7 Abs. 1 DA grundsätzlich ausgenommen. Dennoch sollten auch Unternehmen ohne umfassende Pflichten den DA im Blick behalten: Er eröffnet die Möglichkeit, bislang ungenutzte Datenpotenziale gemeinsam mit anderen Unternehmen zu erschließen. (S. 5)
Datenübersicht erstellen
Ein zentraler Schritt zur Umsetzung der Anforderungen ist die Erstellung einer umfassenden Datenübersicht. Unternehmen, die Datenzugang gewähren müssen, sollten gemäß der Handreichung alle vorhandenen Daten erfassen und zwar sowohl personenbezogene als auch nicht-personenbezogene. Die Struktur kann sich am Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DS-GVO orientieren, muss jedoch weiter gefasst sein. Eine solche Übersicht dient nicht nur der Erfüllung rechtlicher Anforderungen, sondern hilft auch, den wirtschaftlichen Wert von Daten intern besser zu nutzen. (S. 5)
Personenbezug klären
Zuallererst ist es wichtig zu erkennen, ob ein Personenbezug vorliegt. Da die Zugangsrechte davon abhängen, ob die Daten personenbezogen sind. Obwohl sich die Definition des Personenbezugs nicht geändert hat, verlangt der DA eine genauere Differenzierung, besonders bei Mischdatensätzen, die bislang pauschal als personenbezogen galten. Es muss klar dokumentiert und begründet werden, ob Daten offengelegt oder durch die DS-GVO geschützt sind und demnach nicht offengelegt werden dürfen. (S. 6)
Geschäftsgeheimnisse kennzeichnen
Wie der HmbBfDI in seiner Handreichung betont, spielt neben dem Datenschutz auch der Schutz von Geschäftsgeheimnissen eine zentrale Rolle bei der Umsetzung des Data Act. Nach § 2 Nr. 1 GeschGehG dürfen Informationen dann nicht offengelegt werden, wenn sie als Geschäftsgeheimnis im rechtlichen Sinne gelten. Um im Einzelfall belegen zu können, dass eine bestimmte Information diesem Schutz unterliegt, empfiehlt der HmbBfDI, entsprechende Daten in der zentralen Datenübersicht systematisch zu erfassen und als schutzwürdig zu kennzeichnen (S. 6)
Schnittstellen einrichten
Der HmbBfDI weist in seiner Handreichung darauf hin, dass Unternehmen technische Schnittstellen einrichten müssen, um Nutzern den Zugriff auf ihre Daten zu ermöglichen. Dies kann beispielsweise über Kundenportale, APIs oder vergleichbare technische Lösungen geschehen. Ein direkter Zugriff ist jedoch nicht in jedem Fall erforderlich, sondern hängt von der technischen Machbarkeit und Relevanz ab (Art. 3 Abs. 1 DA). Auch diese Entscheidungen müssen nachvollziehbar dokumentiert werden. (S. 6)
Verträge vorbereiten
Im Zusammenhang mit der Datenweitergabe spielen vertragliche Regelungen eine wichtige Rolle. Unternehmen, die künftig Lizenz- oder Nutzungsverträge mit Datenempfangenden abschließen, sollten frühzeitig entsprechende Vertragsvorlagen und Einwilligungsprozesse entwickeln. Die Handreichung nennt hierzu ein Beispiel: Gibt ein Fahrzeughersteller Sensordaten an einen Ersatzteilhersteller weiter, müssen Aspekte wie Preis, Nutzungsrechte und Datenschutz klar geregelt sein. Bei personenbezogenen Daten ist zusätzlich die ausdrückliche Einwilligung der betroffenen Person erforderlich. (S. 6 f.)
Einbeziehen von DSB und IT-Verantwortlichen
Damit alle Vorgaben des DA rechtssicher umgesetzt werden können, empfiehlt die Handreichung, Datenschutzbeauftragte und IT-Verantwortliche frühzeitig in alle relevanten Prozesse einzubeziehen. Der DA steht in engem Zusammenhang mit der DS-GVO sowie mit IT-Sicherheitsanforderungen. Eine enge Verzahnung mit bestehenden Datenschutz- und Sicherheitsstrukturen ist daher unerlässlich. (S. 9)
Transparenz sicherstellen
Schließlich weist die Handreichung darauf hin, dass der DA Unternehmen zu umfassenden Informationspflichten beim Abschluss von Verträgen verpflichtet. Diese ähneln den Datenschutzinformationen nach Art. 13 DS-GVO, unterscheiden sich jedoch in Zielgruppe und Inhalt. Denn nicht immer ist der Käufer eines Produkts auch der tatsächliche Nutzer. Nach Art. 2 Nr. 12 DA können auch juristische Personen (etwa Krankenhäuser, die vernetzte Diagnosegeräte verwenden) als Nutzer gelten. Daher sind eine sorgfältige Abstimmung und Anpassung der Informationspflichten ratsam, um Missverständnisse zu vermeiden und den gesetzlichen Anforderungen gerecht zu werden. (S. 7)
Behördliche Aufsicht
Zwar nicht der Fokus dieses Artikels, aber im Zusammenhang durchaus erwähnenswert ist, dass der HmbBfDI in seiner Handreichung die neue, zweigeteilte Aufsichtsstruktur nach dem Data Act erläutert.
Demnach ist vorgesehen:
- Für nicht-personenbezogene Daten soll eine zentrale „Haupt-Aufsichtsbehörde“ benannt werden – in Deutschland wird dies voraussichtlich die Bundesnetzagentur sein.
- Für personenbezogene Daten bleiben die Datenschutzbehörden gemäß DS-GVO zuständig.
Letztere erhalten weitreichende Befugnisse: Sie können verbindliche Anordnungen treffen, unrechtmäßige Datenweitergaben untersagen und Bußgelder verhängen. Verstöße gegen den Data Act können somit erhebliche rechtliche und finanzielle Folgen haben.
Da das deutsche Umsetzungsgesetz noch nicht verabschiedet wurde, kann es zu einer Übergangsphase mit rechtlichen Unsicherheiten kommen. In dieser Zeit dürfte die Datenschutzaufsicht vorerst die Kontrolle über personenbezogene Daten übernehmen – während für nicht-personenbezogene Daten noch keine zuständige Behörde benannt ist. (S. 10 ff.)
Handlungsempfehlung
Ab September 2025 gelten mit dem Data Act neue Spielregeln für den Umgang mit Daten aus vernetzten Geräten. Unternehmen und Behörden sollten daher rechtzeitig aktiv werden und insbesondere folgende Punkte beachten:
- Datenbezogene Prozesse frühzeitig überprüfen und anpassen. Eine sorgfältige Vorbereitung schützt nicht nur vor rechtlichen Sanktionen, sondern stärkt auch das Vertrauen von Nutzenden, Geschäftspartnern und der Öffentlichkeit.
- Die Handreichung des HmbBfDI als praktische Orientierungshilfe nutzen. Sie bietet konkrete Hinweise zur Umsetzung und hilft, die neuen Anforderungen strukturiert anzugehen.
Wer sich jetzt vorbereitet, kann nicht nur Risiken minimieren, sondern auch Chancen nutzen, insbesondere im Hinblick auf neue Datenpotenziale und Kooperationen.
