Hinweise des HmbBfDI zu Datenschutz und Data Act
Ab September 2025 gilt der europäische Data Act verbindlich. Unternehmen, die vernetzte Geräte anbieten oder mit deren Daten arbeiten, müssen sich auf neue Regeln einstellen, sowohl aus technischer als auch aus datenschutzrechtlicher Sicht. Die Hinweise des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) vom 29.04.2025 erläutern den Zusammenhang von Datenschutz und Data Act.
Der Data Act
Nachdem das Europäische Parlament und der Europäische Rat den Data Act im November angenommen 2024 haben, ist das neue Gesetz am 11.01.2024 in Kraft getreten. Mit ihm eröffnet sich eine neue Ära, die den Zugang zu Daten auf dem europäischen Markt vereinfachen soll. In den letzten Jahren ist ein enormer Markt für Daten entstanden, für den das Gesetz nun einen angemessenen Rechtsraum schaffen soll.
Zielsetzung des Data Acts
Verbraucher sollen durch den Data Act vollständige Zugangs- und Nutzungsrechte für ihre Daten erhalten. Insofern verpflichtet der Data Act Anbieter vernetzter Geräte dazu, Daten bereitzustellen und deren Übertragung an Dritte, etwa Werkstätten oder Cloud-Dienste, technisch zu ermöglichen. Der Zugriff soll dabei entweder unmittelbar über eine Schnittstelle oder auf Antrag erfolgen. Das neue Gesetz soll aber auch die Situation für (kleine) Unternehmen und den öffentlichen Sektor verbessern. So erhalten auch sie beispielsweise einen besseren Zugang zu von Geräten gesammelten Daten für unternehmerische Zwecke.
Anknüpfungspunkt: Vernetzte Geräte
Anknüpfungspunkt des Data Acts sind sogenannte vernetzte Geräte. Das Internet of Things vernetzt immer mehr Geräte, wodurch die Menge an gesammelten Daten exponentiell wächst. Diese und weitere Programme kommunizieren häufig miteinander und tauschen Daten aus. Anwendungsfälle sind Smart Home Geräte, aber auch digitale Gesundheitsprodukte oder vernetzte Fahrzeuge. Bei letztem knüpfen auch die Hinweise des HmbBfDI zu Datenschutz und Data Act an und verweisen auf einem Fall in dem im Rahmen einer Fahrzeuginspektion der Halter auf die vom Kfz gesammelten Daten zugreifen darf.
Datenzugang wird zur Pflicht
Was für Verbraucher mehr Selbstbestimmung bedeutet, resultiert für Unternehmen in neuen Pflichten. Denn auch wenn der Data Act grundsätzlich technologieoffen formuliert ist, stellt er insbesondere Hersteller und Dienstleister von vernetzten Geräten vor komplexe organisatorische und rechtliche Herausforderungen. Deshalb listet der HmbBfDI verschiedene datenschutzrechtlich relevante Umsetzungspflichten auf.
Verzeichnis von Verarbeitungstätigkeiten
Zunächst sollte ein vollständiger Überblick über die vorgehaltenen Daten geschaffen werden, so der HmbBfDI. Werden bereits personenbezogene Daten verarbeitet muss sowieso ein Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO geführt werden, dass ein erster Anknüpfungspunkt sein könnte. Dann bräuchte es nur noch eine Übersicht über die Daten ohne Personenbezug. Der HmbBfDI weist darauf hin, dass eine solche vollständige Übersicht über vorhandene Daten auch unabhängig von Data Act Chancen eröffnet, etwa in dem noch nicht bekannte „Potenziale zur optimierten Auswertung des eigenen Datenbestands“ erkannt werden.
Differenzierung von Personenbezug, Mischdaten und Geschäftsgeheimnissen
Zentral sei auch eine Abgrenzung zwischen personenbezogenen und nicht personenbezogenen Daten. Denn obwohl der Data Act eine weitreichende Herausgabepflicht vorsieht, bleibe die DSGVO bei Überschneidungen vorrangig anwendbar. Da nun aber eine Pflicht zur Herausgabe bei fehlenden Personenbezug besteht, könnte dieser nicht mehr wie früher in Misch- oder Grenzfällen pauschal angenommen werden. Die Konsequenz für Unternehmen besteht darin, dass sie vor jeder Datenweitergabe „trennschärfer“ prüfen müssen, ob ein Personenbezug vorliegt.
Die Hamburger Behörde fordert, dass Mischdatensätze getrennt und die personenbezogenen Anteile nur bei Vorliegen einer DSGVO-konformen Rechtsgrundlage weitergegeben werden. Auch Geschäftsgeheimnisse können eine Weitergabe einschränken, wenn nachvollziehbar ist, dass durch den Datenzugang zum Beispiel ein Schaden entstehen würde. Die Einstufung der Datenart solle in der zuvor erwähnten Datenübersicht notiert werden.
Zugangsgewährung
Die Gewährung des Datenzugangs für Nutzer kann durch direkte Schnittstellen erfolgen. Der Zugang kann aber unter gewissen Voraussetzungen auch auf eine andere Weise stattfinden. Relevant sei jedoch, dass die Zugangsoption datenschutzkonform abgesichert ist. Bei Direktschnittstellen sei hier insbesondere ein unberechtigter Zugriff durch Dritte zu verhindern.
Verträge und Prozesse vorbereiten und anpassen
Für die Weitergabe der Daten sollten zudem zwischen den verschiedenen Parteien Verträge ausgearbeitet werden. Für personenbezogene Daten sei außerdem eine rechtliche Absicherung der Weitergabe, häufig in Form einer Einwilligung, nötig. Auch standardisierte Lizenzverträge sollten vorbereitet werden. Zugleich schreibt der Data Act Informationspflichten vor, die den Transparenzvorgaben aus Art. 13 DSGVO ähneln würden. Insofern empfiehlt der HmbBfDI eine „inhaltliche Vereinheitlichung der die Verarbeitungen erklärenden Dokumente nach Data Act und nach der DSGVO“ mit einigen wenigen nach dem Data Act nun zusätzlich erforderlichen Anpassungen.
Verhältnis von DSGVO und Data Act
Die Parallelanwendung von DSGVO und Data Act bringt zwangsläufig Überschneidungen mit sich. Während der Data Act möglichst breiten Datenzugang ermöglichen möchte, schützt die DSGVO das informationelle Selbstbestimmungsrecht der betroffenen Personen. Der HmbBfDI weist darauf hin, dass im Falle eines Konflikts die DSGVO vorrangig anzuwenden sei.
Die Herausgabe von personenbezogenen Daten dürfe deshalb nur erfolgen, wenn eine Rechtsgrundlage vorliegt. Für besonders schützenswerte Daten, zum Beispiel Gesundheitsdaten, müsse dies eine Grundlage nach Art. 9 DSGVO, wie beispielsweise eine Einwilligung, sein. Anspruchsvoll seien zudem Fälle, in denen eine andere als die betroffene Person Zugang zu Daten verlangt. Fehlt hier eine Einwilligung sei sorgfältig zu prüfen, ob ein berechtigtes Interesse genügt.
Auch das Verhältnis zu bereits etablierten Rechten wie der Datenübertragbarkeit nach Art. 20 DSGVO ist aus Sicht der Aufsichtsbehörde noch nicht abschließend geklärt. Der HmbBfDI empfiehlt, Anträge auf Datenzugang stets umfassend zu prüfen und im Zweifel davon auszugehen, dass sie sowohl unter dem Data Act als auch unter der DSGVO gestellt werden. Weiterhin sei im Rahmen der in den Gesetzen erwähnten technischen und organisatorischen Maßnahmen bei der Weitergabe eine Verschlüsselung erforderlich.
Zuständigkeit noch unklar
Nach Art. 37 Abs. 1 S. 1 Data Act muss jeder Mitgliedstaat eine Behörden benennen, die für die Anwendung und Durchsetzung dieser Verordnung verantwortlich sind. Nach § 2 Abs. 1 des Referentenentwurfs für das DADG (DADG-E) sollte dies die Bundesnetzagentur (BNetzA) werden. Im Bereich der personenbezogenen Daten sollen nach Art. 37 Abs. 3 Data Act die Datenschutzaufsichtsbehörden zuständig sein. Nach § 3 DADG-E war hierfür die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) vorgesehen. Die neue Regierung muss nun eine finale Entscheidung treffen und ein Gesetz verabschieden.
Die Landesdatenschutzbehörden äußerten bereits im März in einer gemeinsamen Stellungnahme Kritik an den Plänen der ehemaligen Regierung. Hierin liege ein Verstoß gegen Europa- und Verfassungsrecht und es bestehe die Gefahr von Doppelstrukturen. Der HmbBfDI erklärt aber, dass die Datenschutzbehörden ab September 2025 Beschwerden entgegennehmen würden.
Fazit
Die Hinweise des HmbBfDI zum Zusammenhang von Datenschutz und Data Act sind eine wertvolle Stütze für Unternehmen, die mit Daten von vernetzten Geräten arbeiten. Unternehmen, die digitale Produkte oder vernetzte Geräte anbieten, sind gut beraten, sich schon jetzt mit den Anforderungen des Data Acts auseinanderzusetzen. Die parallele Geltung der DSGVO und des Data Acts erfordert ein hohes Maß an organisatorischer Sorgfalt, rechtlicher Präzision und technischer Absicherung. Gerade kleine und mittlere Unternehmen sollten die verbleibende Zeit nutzen, um Datenschutz- und Datenzugangsprozesse aufeinander abzustimmen. Genau hier setzen wir an: Unser spezialisiertes Beratungsangebot unterstützt Ihr Unternehmen dabei, die neuen gesetzlichen Anforderungen zu verstehen, rechtssicher umzusetzen und strategische Chancen zu nutzen. Sie umfasst eine praxisnahe Unterstützung zu rechtlichen Pflichten, Compliance-Schritten, Vertragsgestaltung, sowie die Beratung zur Umsetzung der verpflichtenden Datenzugangs- und Nutzungsrechte.
