Vereinbarkeit des Entwurfs zum Data Act und der DS-GVO

Von Stephanie Richter

Der schmale Grat zwischen Schutz personenbezogener Daten und Datenkommerzialisierung

Mit der neuen europäischen Datenstrategie soll die EU zu einem globalen Vorbild werden und eine Führungsrolle in durch Daten gestärkten Gesellschaften einnehmen. Der hierfür am 23.2.2022 veröffentliche Entwurf des Data Act regelt die wertschöpfende Verwendung und faire Verteilung der Nutzung entsprechender Datenmengen. Die Geltung der DS-GVO soll hiervon jedoch unberührt bleiben.

Der Beitrag befasst sich vordergründig mit der Untersuchung, ob der Schutz personenbezogener Daten innerhalb der neuen europäischen Datenstrategie tatsächlich ausreichend berücksichtigt wurde und die DS-GVO weiterhin uneingeschränkte Geltung beanspruchen kann. Durch Analyse des Zusammenspiels zwischen Data Act und DS-GVO sollen kollidierende Regelungen ermittelt und Regelungslücken aufgezeigt werden.

• Der Data Act ist wesentlicher Baustein für die Etablierung eines Datenwirtschaftsrechts, das die Europäische Union durch faire Nutzung schlummernder Datenschätze wettbewerbsfähig halten wird.
• Mit Blick auf ein Miteinander in der Praxis kollidieren DSGVO und Data Act an zahlreichen Stellen. Eine pauschale Anordnung einer „unberührten Fortgeltung der DS-GVO“ wird der Komplexität des Verhältnisses von Datenschutz und Datenkommerzialisierung nicht gerecht.
• Ohne erhebliche Nachbesserung wird das Ziel der Förderung des Innovationspotenzials aufgrund weitgehender Rechtsunsicherheit nicht erreicht werden.

Als „Rohstoff der Zukunft“ erregen Daten gesellschaftliche Debatten, politischen Regulierungseifer und wirtschaftliche Innovation gleichermaßen. Die Nutzbarmachung von großen Datenmengen steht seit dem Volkszählungsurteil des BVerfG national und spätestens seit Inkrafttreten der Verordnung (EU) 2016/679 (DS-GVO) europaweit in einem Spannungsfeld vor allem mit personenbezogenen Daten. Der Entwurf der EU-Kommission zum Data Act v. 23.2.2022 (COM (2022) 68 final – DA-E) macht indes eine Abkehr von einem reinen personenzentrierten Datenfokus und erweitert damit den Regulierungsgegenstand wesentlich gegenüber der DS-GVO. Dabei sorgen einige Regelungen des Data Act-Entwurfs jedoch für Kollisionen mit Regelungen der DSGVO. Gleichzeitig soll die DS-GVO neben dem Data Act-Entwurf uneingeschränkte Geltung beanspruchen. Die Gewährleistung einer Kohärenz ist auch in den weiteren Verhandlungen des Entwurfs zum Data Act ein zentrales Ziel.

1. Datenwirtschaft im Allgemeinen

Das wirtschaftliche Potenzial der Datenökonomie, welches allein für 2014 mit 2,8 Mrd. USD angegeben wird, möchte die Kommission mit dem Bau einer europäischen Datenökonomie abschöpfen und hierfür strukturell einen Rahmen schaffen. Als wesentliches Hemmnis für die Entfaltung der den technologischen Möglichkeiten innewohnenden Potenziale erkennt die Kommission die Konzentration der Daten bei vergleichsweise wenigen Dateninhabern. Sie zielt mit dem Rechtsrahmen insbesondere auf die „Gewährleistung einer ausgewogeneren Verteilung der Wertschöpfung aus Daten“. Dieser marktbezogene Ansatz unterscheidet den Data Act-Entwurf – trotz eigentlicher Ergänzungsfunktion – wesentlich von der DS-GVO.

2. IoT-Daten als Wirtschaftsfaktor der Datenökonomie

Eine zunehmende Bedeutung der spezifisch datenbezogenen Risiken und Potenziale entsteht durch die technologische Fortentwicklung, die unter dem Begriff „Internet of Things“ (IoT) diskutiert wird. Auch wenn die Definitionsansätze vielseitig sind, kann man die Phänomene des IoT als vierte Entwicklungsstufe des Internets begreifen, die verheißungsvoll als „new age of ubiquitous connectivity and intelligence“ angepriesen wird.

Die offizielle Definition des European Research Cluster on the Internet of Things (IERC/ITU) ist entsprechend weit:

Insgesamt nimmt die Quantität der gespeicherten Daten immens zu, auch für vormals non-digitale Wirtschaftszweige. Durch die Interoperabilität von datengestützten IoT-Anwendungen werden dieselben durch kommunikativen Austausch und Verknüpfung von Daten einen erheblichen Zuwachs von Daten generieren. Passend erscheint daher die Bezeichnung dieses Phänomens als „Big Data“.

Als besondere Herausforderung dieser Interaktion verschiedener IoT-Anwendungen hat die Kommission zutreffend erkannt, dass enorme wechselseitige Abhängigkeiten hinsichtlich des Datenbestands, der Datenqualität und ihrer rechtzeitigen Verfügbarkeit bestehen, die ihrerseits Haftungsfragen aufwerfen. Dabei sind viele Daten durch die Verschränkung und Verknüpfung nicht auf die technische Funktionsfähigkeit der „Things“ beschränkt, sondern etwa mit der Verknüpfung einer eindeutigen Gerätekennung zu einem Nutzer teilweise personenbezogen und haben damit neben den immensen wirtschaftlichen Innovationspotenzialen auch datenschutzrechtliche Relevanz. Vor allem an dieser Schnittstelle greifen sowohl das bestehende Datenschutzrecht als auch der Data Act-Entwurf ein und werden das wirtschaftliche Betätigungsfeld rechtlich prägen.

Die Genese des Data Act-Entwurfs geht auf diverse Reformansätze zurück. Auf dem Weg zu einer „data-driven economy“ hat die Kommission in zahlreichen Dokumenten die eigene Strategie neu ausgerichtet und an einigen Stellen angepasst. Mit dem vorliegenden Entwurf setzt die Kommission den „letzten horizontalen Baustein der Datenstrategie“ in den Baukasten der europäischen Datenwirtschaft ein.

Der Data Act-Entwurf hat sich zudem zu Recht gegen das diskutierte „Dateneigentum“ entschieden. Gleichwohl verharrt der Entwurf nicht bei der stattdessen geforderten Trias aus verschärftem Datenschutzrecht, allgemeinem Wettbewerbsrecht und Kartellrecht, sondern strukturiert das Datenwirtschaftsrecht auf vielen Ebenen neu um.

Ausweislich der deutschen Bezeichnung als „Datengesetz für einen fairen Datenzugang und eine faire Datennutzung“ verfolgt der Entwurf in erster Linie einen ökonomisierten Ansatz, will dabei den Schutz personenbezogener Daten jedoch nicht mindern. Kurzum erweitert der Data Act-Entwurf das Schutzniveau personenbezogener Daten zwar nicht, soll dieses nach der Zielausrichtung indes vollumfänglich gewährleisten.

Der Entwurf zum Data Act nennt seinerseits fünf spezifische Ziele, die durch den Vorschlag verfolgt werden sollen und denen die Systematisierung des Gesetzes selbst folgt:

1. Erleichterung des Datenzugangs und der Datennutzung für Verbraucher und Unternehmen bei gleichzeitiger Aufrechterhaltung von Anreizen für Investitionen in die Wertschöpfung durch Daten.
2. Einführung der Nutzung von im Besitz von Unternehmen befindlichen Daten durch öffentliche Stellen sowie Organe, Einrichtungen oder sonstige Stellen der Union in bestimmten Situationen, in denen eine außergewöhnliche Notwendigkeit dazu besteht.
3. Erleichterung des Wechsels zwischen Cloud- und Edge-Diensten.
4. Einführung von Schutzvorkehrungen gegen die unrechtmäßige Datenübermittlung ohne Meldung durch Cloud-Diensteanbieter.
5. Geplante Entwicklung von Interoperabilitätsstandards für Daten, die von anderen Sektoren weiterverwendet werden sollen.

Vielfach wird – der wirtschaftlichen Ausrichtung wegen nachvollziehbar – an die Verarbeitung auch von personenbezogenen Daten angeknüpft werden.

Der Entwurf stellt vielfach klar, dass der Entwurf zum Data Act die DS-GVO komplementiert und gerade nichts an ihrer Geltung ändern soll. So wird gem. Art. 1 Abs. 3 Data Act-Entwurf iVm den Erwägungsgründen 7, 8, 24, 30, 31, 64 und 74 Data Act-Entwurf vielfach die „unberührte“ Fortgeltung angeordnet. Zugleich soll eine Auslegung entgegen dem Schutz personenbezogener Daten verhindert werden. Insbesondere soll ausweislich des Erwägungsgrunds 5 Data Act-Entwurf gerade keine Rechtsgrundlage für den Besitz, Zugriff oder die Verarbeitung durch den Dateninhaber geschaffen werden. Allerdings ergeben sich trotz angeordneter Unberührtheit rechtliche und tatsächliche Kollisionen zwischen den Regelwerken, die nachfolgend aufgezeigt werden sollen.

1. Definitionen, insbesondere Datenbegriffe

Der Entwurf definiert Daten in Art. 2 Nr. 1 Data Act-Entwurf als „jede digitale Darstellung von Handlungen, Tatsachen oder Informationen sowie jede Zusammenstellung solcher Handlungen, Tatsachen oder Informationen auch in Form von Ton-, Bild- oder audiovisuellem Material“ und will ausweislich des Art. 2 Nr. 2, 3, 4 IoT-Anwendungen iVm den Erwägungsgründen 14–17 und 22 IoT-Anwendungen und die dadurch erhaltenen, erzeugten, gesammelten oder übermittelten Daten erfassen.

Damit wird gegenüber dem in der DS-GVO zugrunde gelegten Schutzgegenstand vielfach abgewichen. Der Entwurf zum Data Act nimmt Abstand von einer unsauberen Gleichsetzung von Daten und Informationen, wie sie in Art. 4 Nr. 1 DS-GVO vorgenommen wird und unterstreicht die Funktion von Daten als Medium.

Auf den Personenbezug wird verzichtet, was vor dem Hintergrund der Fokussierung auf Daten als Wirtschaftsgut folgerichtig ist. Denn es hat etwa für einen durch den Data Act-Entwurf begünstigten Datenempfänger gem. Art. 2 Nr. 6 des Data Act-Entwurfs nicht zwangsweise einen wirtschaftlichen oder technischen Wert, wenn die Daten einen Personenbezug aufweisen. Durch die Möglichkeit einer Zuordnung, insbesondere im Bereich von IoT-Anwendungen, wird indes in zahlreichen Fällen ein Personenbezug bestehen. Für die Verarbeitung von personenbezogenen Daten werden so beide Regelwerke gleichermaßen zur Anwendung kommen.

Dabei wird sich besonders die Abgrenzung von personenbezogenen Daten und nicht-personenbezogenen Daten in der Praxis als schwierig darstellen. Dies zutreffend erkannt, fordert der Bundesrat weitere Definitionen in den Entwurf zum Data Act aufzunehmen, die eine nachvollziehbare Abgrenzung des datenbezogenen Anwendungsbereichs und eine Festlegung diesbezüglicher konkreter Pflichten ermöglichen.

Der Entwurf zum Data Act definiert den Begriff der „Verarbeitung“ in Art. 2 Nr. 11 des Data Act-Entwurfs – unter Verzicht auf den Personenbezug – identisch zu Art. 4 Nr. 2 DS-GVO, was eine Auslegungsparallelität nahelegt. Andererseits ist der Data Act-Entwurf strukturell jedoch enger gefasst und verfolgt ausweislich Art. 1 Abs. 1 des Data Act-Entwurfs die Regelung der Bereitstellung von näher bestimmten Daten. Das Regelungsmedium etwa des „Produkts“ iSd Art. 2 Nr. 2 des Data Act-Entwurfs schließt – anders als die DS-GVO – solche Gegenstände und Anwendungen per definitionem aus, deren Hauptfunktion die Speicherung und Verarbeitung von Daten ist, ausweislich Erwägungsgrund 15 des Data Act-Entwurfs etwa keine Personalcomputer, Server, Tablets und Smartphones, Kameras, Webcams, Tonaufnahmesysteme und Textscanner, weil sie eines menschlichen Beitrags bedürfen.

2. Grundsätzliche Rechtsstellung des Betroffenen/Nutzers

In der DS-GVO ist die Rechtsstellung des Betroffenen weitgehend in den Art. 12–23 DS-GVO geregelt und umfasst – auch bei dogmatisch nicht immer sauberer Verortung – Transparenzpflichten, Informationspflichten, Auskunftsrechte, Ansprüche auf Berichtigung und Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit. Darin verankert liegt das Recht auf informationelle Selbststimmung, das als treibende Kraft des Schutzes persönlicher Daten hinter der DS-GVO steht.

Von diesem – der Historie des Datenschutzrechts als Grundrecht – abkehrend, besinnt sich die Kommission auf das ansonsten zwischen Privatrechtssubjekten anerkannte Verhältnis der Augenhöhe und „kontraktualisiert“ die Verhältnisse zwischen den Beteiligten. So sind die Regelungen des Entwurfs zum Data Act stets im Lichte der vertraglichen Verhältnisse der an der Herstellung von Big Data beteiligten Akteure zu betrachten.

3. Datenübertragbarkeit und Zugangsrecht

Art. 4 Abs. 1 des Data Act-Entwurfs regelt das Recht der Nutzer auf Zugang zu und Verwendung von Daten, die durch die Nutzung von Produkten oder damit verbundenen Diensten entstehen, während Art. 5 Abs. 1 des Data Act-Entwurfs das Recht auf Weitergabe von Daten an Dritte normiert. Die Vorschriften ähneln unübersehbar dem Recht auf Datenübertragbarkeit aus Art. 20 DS-GVO, weisen jedoch auch strukturelle Unterschiede auf.

Gemeinsam ist die grundsätzliche Zielstellung der Ansprüche, indem Art. 20 Abs. 1 DS-GVO die Übermittlung an die betroffene Person, Art. 20 Abs. 2 DS-GVO die Übermittlung an einen Dritten regelt.

Die Unterschiede beginnen bereits bei dem Auseinanderfallen der Anspruchsberechtigten. Während in Art. 20 Abs. 1 und Abs. 2 DS-GVO ausschließlich die betroffene Person hinsichtlich ihrer personenbezogenen Daten berechtigt wird, entstehen mangels notwendigen Personenbezugs der Daten bei dem Dateninhaber iRd Data Act-Entwurfs zwei Gruppen von potenziellen Anspruchsinhabern: Nutzer iSd Art. 2 Nr. 5 des Data Act-Entwurfs, die zugleich betroffene Personen iSd Art. 4 Nr. 1 DS-GVO sind und solche, die es nicht sind. Dieses Auseinanderfallen erklären die Regelungen Art. 4 Abs. 5, 5 Abs. 6 Data Act-Entwurf, die iVm Erwägungsgrund 24 des Data Act-Entwurfs das Erfordernis einer datenschutzrechtlichen Rechtsgrundlage für Verarbeitung nach Art. 6 Abs. 1 DS-GVO verlangen.

Hierin liegt ein rechtliches Risiko für den Dateninhaber, der zugleich Verantwortlicher sein kann.

Denkbar sind zwei Fehlbewertungen:

• Die Daten sind personenbezogen und werden als nicht-personenbezogen klassifiziert, weshalb dem Erfordernis einer Rechtsgrundlage nach Art. 4 Abs. 5, 5 Abs. 6 des Data Act-Entwurfs – unter Verstoß gegen die DS-GVO – nicht entsprochen wird. Sieht man in Art. 4 Abs. 5, 5 Abs. 6 des Data Act-Entwurfs deklaratorische Vorschriften, was unter Rückgriff auf Art. 1 Abs. 3 des Data Act-Entwurfs iVm zahlreichen Erwägungsgründen vertretbar erscheint, beschränkt sich der Verstoß auf die DS-GVO. Ausgehend von dem Wortlaut von Art. 4 Abs. 5 des Data Act-Entwurfs „nur zur Verfügung gestellt werden, wenn eine gültige Rechtsgrundlage gem. Art. 6 Abs. 1 [DS-GVO] besteht ...“ ließe sich jedoch auch hier eine materielle Grenze des Begehrens vertreten. In der Folge würde dann zusätzlich ein Verstoß gegen den Entwurf zum Data Act vorliegen.

• Im umgekehrten Fall des Vorliegens nicht-personenbezogener Daten und der Klassifikation als personenbezogen droht bei Verweigerung des Zugangs bzw. der Weitergabe mangels Rechtsgrundlage nach Art. 6 Abs. 1 DS-GVO ein Verstoß gegen den Entwurf zum Data Act.

4. Informationspflichten

Aus der Strukturparallelität der Informationspflichten ergibt sich ein weiterer Kollisionspunkt. Art. 3 Abs. 2 des Data Act-Entwurfs ordnet die Bereitstellung von näher bestimmten Informationen vor Abschluss eines Kauf-, Miet- oder Leasingvertrags für ein Produkt oder verbundenen Dienst in einem klaren und verständlichen Format an. Nach Erwägungsgrund 23 des Entwurfs zum Data Act zielt die Vorschrift auf die Transparenz in Bezug auf die erzeugten Daten und die Verbesserung des einfachen Zugangs für den Nutzer und damit auf den Kern des regulatorischen Ziels des Data Act-Entwurfs insgesamt. Die Vorschrift ähnelt im Hinblick auf die grundsätzliche Bereitstellung von Informationen Art. 5 DS-GVO iVm Art. 12, 13 und Art. 14 DS-GVO, deren Unberührtheit in Erwägungsgrund 23 des Data Act-Entwurfs klargestellt wird.

Vorgenannte Gestaltungsprobleme wurden auch vom europäischen Gesetzgeber erkannt. So hat die tschechische Ratspräsidentschaft in einem Kompromissvorschlag v. 12.7.2022 Erwägungsgrund 23 des Data Act-Entwurfs um eine beispielhafte Beschreibung der Umsetzung der Transparenzverpflichtung nachgebessert.

Danach können Dateninhaber die Informationen nach Art. 3 Abs. 2 des Data Act-Entwurfs z. B. dadurch erfüllen, dass im Internet ein URL-Link bereitgestellt wird, der auf entsprechende Informationen verweist. Dieser URL-Link könne dem Nutzer sodann vom Verkäufer, Vermieter oder Verleiher vor Abschluss des Kauf-, Miet- oder Leasingvertrags über ein Produkt oder die Erbringung einer damit verbundenen Dienstleistung mitgeteilt werden.

In jedem Fall müsse der Nutzer in die Lage versetzt werden, die Informationen so zu speichern, dass sie für eine spätere Bezugnahme zugänglich sind und die unveränderte Wiedergabe der gespeicherten Informationen ermöglichen.

In Bezug auf die Informationspflichten nach DS-GVO stellt der Kompromissvorschlag lediglich Folgendes fest:

Eine abschließende, in der Praxis auch umsetzbare Lösung für das Nebeneinander der Informationspflichten nach DS-GVO und Data Act-Entwurf ist mit den Anpassungen im Kompromissvorschlag damit noch nicht gefunden.

Teilweise wird Informationspflichten per se ihre Sinnhaftigkeit abgesprochen, weil diese ihr Ziel einer Stärkung der Autonomie des die Risiken überblickenden Betroffenen verfehlten und stattdessen ein anderes gefordert. Diese grundsätzlichen Erwägungen verkennen jedoch die durch die Informationspflichten in Art. 3Abs. 2 des Data Act-Entwurfs bezweckte Transparenz hinsichtlich der durch Nutzer geschaffenen Datenmengen. Nur durch entsprechende Information können Nutzer auch von ihrem Zugangsrecht nach Art. 4 des Data Act-Entwurfs Gebrauch machen.

5. Bereitstellungspflichten

Einen weiteren Kollisionspunkt legt der Entwurf zum Data Act mit der Pflicht zur Bereitstellung von Daten wegen außergewöhnlichem Bedarf gem. Art. 14 ff. des Data Act-Entwurfs an. Auf Verlangen stellt der Dateninhaber einer öffentlichen Stelle oder einem Organ, einer Einrichtung oder einer sonstigen Stelle der Union, die einen außergewöhnlichen Bedarf der Nutzung der verlangten Daten nachweist, Daten bereit. Den außergewöhnlichen Bedarf definiert Art. 15 des Data Act-Entwurfs, wobei Erwägungsgrund 57 des Data Act-Entwurfs exemplarisch öffentliche Notfälle im Bereich der öffentlichen Gesundheit, infolge von Umweltschäden und größeren Naturkatastrophen, einschließlich solcher, die durch den Klimawandel verschärft werden, sowie vom Menschen verursachte größere Katastrophen, wie z. B. Cybersicherheitsvorfälle, nennt.

Der Kompromissvorschlag der tschechischen Ratspräsidentschaft sieht jedoch wichtige Einschränkungen vor. So wurde Art. 15 des Data Act-Entwurfs insoweit angepasst, dass die Verwendung von Daten bei außergewöhnlichem Bedarf – nunmehr klarstellend vor die einzelnen Voraussetzungen gezogen – zwingend zeitlich und vom Umfang her begrenzt sein soll.

Ferner begrenzen die in dem Kompromissvorschlag angepasste Art. 18 Abs. 5 des Data Act-Entwurfs und Erwägungsgrund 64 des Data Act-Entwurfs die Verwendung personenbezogener Daten durch öffentliche Stellen. Danach sollen öffentliche Stellen nach Möglichkeit nicht-personenbezogene Daten, einschließlich anonymisierter Daten, verwenden. Dem Dateninhaber wird insoweit die Pflicht auferlegt, die Daten vor Bereitstellung zu anonymisieren. Im Gegenzug kann der Dateninhaber dafür nach Art. 20 Abs. 2 des Data Act-Entwurfs eine Entschädigung verlangen. Soweit eine Bereitstellung personenbezogener Daten unbedingt notwendig ist, hat der Dateninhaber diese vor Bereitstellung zumindest durch technische Mittel der Pseudonymisierung und Aggregation zu schützen. Auch hierfür kann eine Entschädigung gefordert werden. Weiter hat die öffentliche Stelle die strikte Notwendigkeit der Einbeziehung personenbezogener Daten und die spezifischen und begrenzten Zwecke der Verarbeitung in Ihrer Datenanfrage ausweislich des angepassten Art. 17 Abs. 2 lit. d Data Act-Entwurf iVm Erwägungsgrund 64 des Data Act-Entwurfs explizit zu begründen.

Der Kompromissvorschlag ist hinsichtlich des grundgesetzlichen Schutzes des Einzelnen vor staatlichem Zugriff auf seine personenbezogenen Daten iSd Rechts auf informationelle Selbstbestimmung (Art. 2 Abs. 1 GG iVm Art. 1 Abs. 1 GG) zu begrüßen. Das Problem, inwieweit über die abstrakte Möglichkeit der Weitergabe personenbezogener Daten an Behörden nach Art. 13, 14 DS-GVO zu informieren ist, wird jedoch dadurch noch nicht gelöst.

Das Verfahren ist – wenn auch weit gediehen – noch nicht gänzlich abgeschlossen, sodass auch Nachschärfungen möglich sind. Angesichts der vielen Anknüpfungspunkte für Kollisionen allein mit der DS-GVO, bleibt für Grenzziehungen der beiden Regelwerke durch Rechtsauslegung und ggf. -fortbildung des EuGH großer Raum. Bisweilen balanciert die betroffene Datenwirtschaft auf einem schmalen Grat zwischen übermäßiger Vorbeugung und Wahrnehmung der intendierten wirtschaftlichen Freiheiten, die vorausschauender Rechtsgestaltung bedürfen. In seiner Gesamtheit findet der Data Act als "weiterer Meilenstein der Regulierung von datengestützten Geschäftsmodellen indes weitgehend plausible und befriedigende Ergebnisse zur Erschließung des dem Datenschatz innewohnenden Innovationspotenzials".

Der Beitrag "Vereinbarkeit des Entwurfs zum Data Act und der DS-GVO" erhielt auf der 23. DSRI-Herbstakademie 2022 den „Best Paper Award“.

Erschienen ist er in der MMR 2023, 163.

Stephanie Richter, LL.M. (Torino), CIPP/E,

ist Rechtsanwältin in der Kanzlei Taylor Wessing in Hamburg.