Die Übertragung von Daten über internationale Grenzen hinweg ist für viele Unternehmen in der digitalisierten Welt essenziell, kann jedich angesichts besonderer regulatorische Anforderungen der EU eine Herausforderung darstellen. Die Europäische Union hat eine Reihe von Vorschriften eingeführt, um den Schutz personenbezogener Daten einerseits und sonst sensibler Daten andererseits sicherzustellen und zugleich die wirtschaftliche Wettbewerbsfähigkeit und den Free Flow of Data zu fördern. Diese Vorschriften, wie die Datenschutz-Grundverordnung (DSGVO), der Data Act (DA) und der Data Governance Act (DGA), schaffen einen rechtlichen Rahmen, der Unternehmen zwingt, ihre Datenverarbeitungspraktiken kontinuierlich anzupassen und ggf. zu überdenken.
Warum reguliert die EU den Datenaustausch?
Die Gründe für die Regulierung der Datenübertragung durch die EU sind vielfältig und teils widersprüchlich. Einerseits strebt die EU an, durch den freien Fluss von Daten die Wettbewerbsfähigkeit der europäischen Wirtschaft zu stärken und Innovationen zu fördern. Andererseits hat der Schutz von zum Beispiel Privatsphäre, Geschäftsgeheimnissen und geistigem Eigentum hohe Priorität. Darüber hinaus spielen geopolitische Faktoren eine Rolle, etwa in Bezug auf den Schutz kritischer Infrastrukturen und sensibler Daten vor unberechtigtem Zugriff durch Drittstaaten. Der zunehmende globale Wettbewerb – besonders zwischen den USA und China – macht diese Regulierungen aus Sicht der EU unverzichtbar, um wirtschaftliche und strategische Interessen zu wahren.
Der Data Act und seine weitreichenden Auswirkungen
Am 12. September 2025 wird der Data Act wirksam. Er soll eine zentrale Rolle im regulatorischen Umfeld der EU spielen. Der Data Act regelt nicht nur den Zugang zu und die Nutzung von Daten in B2B- und B2C-Beziehungen, sondern verpflichtet Unternehmen auch, Daten „by design“ zugänglich zu machen. Dies bedeutet, dass Dateninhaber, darunter insbesondere Anbieter vernetzter Geräte, sicherstellen müssen, dass Nutzer auf die von ihnen generierten Daten zugreifen und diese mit anderen teilen können.
Ein besonderes Augenmerk liegt hierbei auf der Interoperabilität und der Portabilität von Daten. Anbieter von Datenverarbeitungsdiensten werden verpflichtet, technische Barrieren zu beseitigen, die den Wechsel von Anbietern erschwert und sicherzustellen, dass der Wechsel zwischen Diensten ohne erhebliche Kosten möglich ist.
Dateninhaber müssen dafür sorgen, dass solche Maschinendaten in einem gängigen, maschinenlesbaren Format an ihre Kunden (bzw. die Nutzer der Geräte) exportiert werden können. Diese Maßnahmen sind Teil eines umfassenden Versuchs, wettbewerbshemmende Praktiken zu verringern und die Rechte der Nutzer in der digitalen Wirtschaft zu stärken.
Der Data Act gilt auch im grenzüberschreitenden Verkehr. U.S.-Unternehmen, die sich auf den europäischen Markt ausrichten, müssen den Kunden in der E.U. Zugang zu den Daten gewähren. Umgekehrt müssen Unternehmen mit SItz in der E.U. ihren Kunden Datenzugang gewähren.
Artikel 32 des Data Act
Um ein Mindestmaß an Sicherheit der preis gegegebenen Daten zu gewähren, reguliert Art. 32 DA einen sehr speziellen Aspekt internationaler Datenübertragungen: den unrechtmäßigen Zugriff durch oder die unrechtmäßige Übertragung von nicht-personenbezogenen Daten an Behörden aus Nicht-EU-Staaten. Diese Regelung gilt nicht für internationale Datenübertragungen zwischen Unternehmen oder innerhalb eines Konzerns. Vielmehr zielt Art. 32 darauf ab, den Zugriff durch nicht-europäische Behörden zu verhindern, wenn dieser im Widerspruch zu den Gesetzen der EU oder einzelner Mitgliedstaaten steht.
Anbieter von Datenverarbeitungsdiensten müssen technische, organisatorische und rechtliche Maßnahmen ergreifen, um sicherzustellen, dass der Zugriff auf die von ihnen gespeicherten Daten mit den Gesetzen der EU und denen der Mitgliedstaaten im Einklang steht. Diese kann unter anderem die Verschlüsselung von Daten und die Durchführung regelmäßiger Audits umfassen.
Internationale Übertragungen personenbezogener Daten fallen dagegen weiterhin unter die DSGVO. Art. 32 des Data Act spielt somit nur eine Rolle, wenn nicht-personenbezogene Daten durch Behörden aus Drittstaaten angefordert oder übertragen werden sollen.
Konflikte zwischen dem Data Act und der DSGVO
Dies brigt erhebliches Konfliktpotenzial mit sich. Während es nach dem Data Act geboten ist, Daten zu teilen, kann dies für personenbezogene Daten unter der DSGVO gerade verboten sein. Es kommt daher auf die Abgrenzung von personenbezogenen und nicht-personenbezogenen Daten an. Eine falsche Klassifizierung kann erhebliche rechtliche Konsequenzen nach sich ziehen. Während die DSGVO strikte Regeln für den Schutz personenbezogener Daten festlegt, fordert der Data Act eine Offenheit gegenüber dem Datenaustausch – insbesondere bei nicht-personenbezogenen Daten. Andererseits sieht Art. 4 Abs. 13 DA eine Pflicht zum Abschluss eines Datenlizenzvertrages zwischen Hersteller und Nutzer nur für nicht-personenbezogene Daten vor. Hier kann es für den Hersteller also sogar von Vorteil sein, wenn es nicht um Daten mit Personenbezug handelt, weil die fortgesetzte Verarbeitung hier u.U. auf Art. 6 Abs. 1 S. 1 lit. f DSGVO gestützt werden kann (und ein Vertrag gerade nicht erforderlich ist).
Die Abgrenzung ist also extrem relevant, aber bisher in vielen Fällen völlig ungeklärt. So gibt es oft gemischte Datensätze, die sowohl personenbezogene Daten als auch nicht-personenbezogene Daten enthalten. Dies erfordert eine sorgfältige Bewertung durch die Unternehmen, um sicherzustellen, dass keine Verstöße gegen die DSGVO vorliegen. Ein wegweisendes EuGH-Urteil vom 9. November 2023 (C-319/22) hat klargestellt, dass Daten als personenbezogen gelten, wenn der Empfänger in der Lage ist, eine natürliche Person zu identifizieren – selbst wenn die Daten ursprünglich als nicht-personenbezogen eingestuft wurden.
Internationale Datenübermittlungen unter dem Data Governance Act (DGA)
Auch der Data Governance Act enthält zusätzliche Bestimmungen über die internationale Übermittlung nicht personenbezogener Daten. Unternehmen dürfen solche Daten standardmäßig weiterverwenden und in Drittländer übertragen, sofern sie bestimmte Anforderungen erfüllen. Dieses Verfahren umfasst zwei zentrale Phasen:
- Unterrichtung der öffentlichen Stelle: Der potenzielle Weiterverwender muss die öffentliche Stelle im Voraus über seine Absicht zur internationalen Datenübertragung und den Zweck der Übermittlung informieren.
- Vertragliche Verpflichtungen: Der Weiterverwender muss sich vertraglich dazu verpflichten, den Datenschutz auch nach der Übermittlung zu gewährleisten. Zudem muss er die Rechtshoheit des Mitgliedstaates der öffentlichen Stelle akzeptieren, falls es zu Streitigkeiten kommt.
Um internationale Übermittlungen sicherer zu gestalten, hat die Europäische Kommission die Befugnis, Mustervertragsklauseln vorzuschlagen, die in Transferverträgen genutzt werden können. In Fällen, in denen viele Anträge aus bestimmten Drittstaaten kommen, kann die Kommission „Gleichwertigkeitsbeschlüsse“ erlassen, welche die Datensicherheitsstandards dieser Länder als gleichwertig mit den EU-Standards anerkennen. Solche Beschlüsse erleichtern die Datenübermittlung, sind jedoch nicht zwingend notwendig – Unternehmen können auch auf vertragliche Vereinbarungen zurückgreifen.
Für besonders sensible Daten, etwa nicht personenbezogene Gesundheitsdaten, die in künftigen EU-Rechtsakten als „hochsensibel“ eingestuft werden könnten, wird die Kommission zusätzliche Bedingungen festlegen, die erfüllt sein müssen, damit diese Daten in Drittländer übertragen werden dürfen. Ein Beispiel sind anonymisierte und aggregierte Gesundheitsdaten, deren Übertragung in Drittländer möglicherweise das öffentliche Wohl der EU gefährden könnte.
Fazit: Strategische Anpassungen und der Schutz europäischer Werte
Für Unternehmen, die in der EU operieren oder Daten über EU-Grenzen hinweg übertragen, ist es unabdingbar, sich auf die kommenden regulatorischen Veränderungen vorzubereiten. Der Data Act, der Data Governance Act und die DSGVO bilden einen umfassenden Rahmen, der nicht nur den Schutz der Privatsphäre, sondern auch eine Basis für die faire und sichere Nutzung von Daten schafft.
Unternehmen müssen ihre Datenverarbeitungsprozesse, technischen Schutzmaßnahmen und rechtlichen Rahmenbedingungen kontinuierlich überprüfen, um sowohl die regulatorischen Anforderungen zu erfüllen als auch die Chancen zu nutzen, die der freie Datenfluss bietet.
Dabei sollten der Data Act und der Data Governance Act nicht als Hemmnisse des freien Datenflusses außerhalb der EU betrachtet werden, sondern vielmehr als Maßnahmen, die darauf abzielen, diesen zu stärken und durch zusätzliche Schutzmechanismen sicherer zu gestalten.