Der Data Act ist am 11.01.2024 in Kraft getreten und wird in großen Teilen ab dem 12.9.2025 anwendbar sein. Das Ziel: Die Förderung der Europäischen Datenwirtschaft. Einen ausführlichen Beitrag zum Regelungsgegenstand des Data Acts finden Sie hier.
Während der Data Act neue Ansätze und Lösungen für die Datenwirtschaft in der Union verspricht, stellen sich auch Fragen und Probleme. In diesem Beitrag möchten wir diese Fragen und Probleme aufzeigen und etwaige Überlegungen zu diesen Problemen teilen.
Übersicht
Data Act vs. DSGVO?
Der Data Act möchte den Fluss nicht-personenbezogener Daten erleichtern und eine Bewirtschaftung dieser Daten ermöglichen. Spezifisch soll der Zugang zu Daten ermöglicht werden, die während der Nutzung des Produkts oder des Dienstes durch den Nutzer generiert werden. Nicht vom Zugangsrecht umfasst sind Daten, die in ihrer Natur stark verändern wurden, nicht direkt mit dem Produkt zusammenhängen oder im Zusammenhang mit der Aufzeichnung und Anzeige von Inhalten stehen.
Nun können maschinengenerierte Daten aber trotzdem einen Personenbezug aufweisen oder Zwecks Kontrolle der Berechtigung des Zugriffs mit personenbezogenen Daten vermischt werden. Das hätte zur Folge, dass Daten, auf die man eigentlich mit Hilfe des Data Acts zugreifen möchte, nicht erlangen kann, weil der Data Act auf diese Daten dann gerade keine Anwendung findet.
Dies eröffnet gleich mehrere Fragen:
- Wie ist mit dem Lizenzerfordernis nach Art. 4 Abs. 13 Data Act umzugehen?
- Auf welche Rechtsgrundlage der DSGVO greift man zurück, wenn Nutzer nach Data Act und Betroffener nach DSGVO auseinanderfallen?
- Beherbergt die Notwendigkeit der Differenzierung zwischen personenbezogenen Daten und nicht-personenbezogenen Daten ein erhebliches Risikopotenzial für den Dateninhaber?
- Was würde Unternehmen, die kein Interesse daran haben, generierte Daten zu teilen daran hindern, diese mit personenbezogenen Daten zu vermengen, um die Anwendbarkeit des Data Acts auszuschließen?
- Wo liegt dann der konkrete Vorteil eines Datenzugangsrechts aus dem Data Acts gegenüber dem Auskunftsanspruch aus der DSGVO?
Ausgangslage: Data Act und DSGVO
Die Regelungen des Data Act sollen neben den Vorschriften des Datenschutzrechts anwendbar sein. Die Zuständigkeiten der Aufsichtsbehörden bleiben unberührt, genau wie die Betroffenenrechte nach DSGVO. Bestimmungen des Data Act sollen nicht datenschutzschwächend oder -einschränkend ausgelegt werden (vgl. Erwägungsgrund Nr. 7 DA). Hierdurch soll eine Beeinträchtigung des Datenschutzniveaus vermieden werden. Im Widerspruchsfall genießt die DSGVO Vorrang.
Nutzungsrechte des Dateninhabers
Folgt man den oben genannten Vorgaben der DSGVO und dem Data Act, gelangt man schnell zur der Erkenntnis, dass die Nutzungsrechte des Dateninhabers von dem Personenbezug der Daten abhängig sind.
Ist der Personenbezug ausgeschlossen, gelten die Vorschriften des Data Acts. Dann greift unter anderem auch das Erfordernis eines Datenlizenzvertrages nach Art. 4 Abs. 13 Data Act. Sind die Daten hingegen personenbezogen, richtet sich die Verwendung nach den Anforderungen der DSGVO und das Lizenzerfordernis nach Art. 4 Abs. 13 Data Act entfällt.
Ob Daten im personenbezogen sind oder nicht, wird stets einer Entscheidung im Einzelfall bedürfen. Wichtig: Entscheidet sich der Dateninhaber für einen Personenbezug der Daten, trägt er die Beweislast für das fehlende Lizenzerfordernis.
Interessant wird es, wenn der Personenbezug teilweise oder vermutlich gegeben ist. Hierbei wird es sich mit hoher Wahrscheinlichkeit um den in der Praxis relevantesten und häufigsten Fall handeln. Das könnte bei „untrennbar“ miteinander vermischten Daten oder einem unklaren Personenbezug der Fall sein. Hinsichtlich nicht-personenbezogener Elemente wird das Lizenzerfordernis aus Art. 4 Abs. 13 Data Act berücksichtigt werden müssen. Hinsichtlich dem gesamten Datensatz werden die Vorschriften der DSGVO einzuhalten sein.
Rechtsgrundlage für die Gewährung des Datenzugangs
Sofern es sich bei den bereitzustellenden Daten um personenbezogene Daten handelt, wird, wie oben ausgeführt, eine Rechtsgrundlage nach Art. 6, 9 DSGVO erforderlich. Vorgegriffen: Es gilt zu beachten, dass der Data Act selbst keine Rechtsgrundlage nach Art. 6 Abs. 1 lit. c DSGVO darstellt!
Sofern der Nutzer und Betroffene in einer Person zusammenfallen stellt der oben dargestellte Ablauf keine größere Problematik dar. Der Anfragende kann in die Verarbeitung der Daten einwilligen und anschließend die Daten erhalten.
Es wird schwieriger, wenn die Person des Nutzers und des Betroffenen auseinanderfallen, wie etwa bei der Verwendung eines vernetzten Produkts durch einen Arbeitnehmer, eine Personenmehrheit (wie eine WG) oder durch Dritte.
Die Einwilligung als Rechtsgrundlage ist in einer solchen Konstellation für den Dateninhaber kein verlässliches Instrument, da der Nutzer als Verantwortlicher im Sinne der DSGVO die Einwilligung des Betroffenen einholt und diesem dem Dateninhaber vorlegt. Es ist für den Dateninhaber somit weder ersichtlich, ob die Voraussetzungen für eine wirksame Einwilligung eingehalten wurden, noch ob die Einwilligung noch wirksam ist und nicht widerrufen wurde.
In einem Arbeitsverhältnis käme noch Betriebsvereinbarung als Rechtsgrundlage in Betracht. Diese stellt gem. § 26 Abs. 4 BDSG i.V.m. Art. 88 Abs. 1, 2 DSGVO eine Rechtsgrundlage für die Verarbeitung der Beschäftigtendaten dar. Relevante Verarbeitungstätigkeiten werden in der Betriebsvereinbarung festgehalten. Dieser Ansatz setzt jedoch zwingend das Bestehen eines Betriebsrates voraus, über den nicht jedes Unternehmen verfügt.
Auch die übrigen Rechtsgrundlagen nach DSGVO gelangen in dieser Konstellation an ihre Grenzen: Eine Erforderlichkeit zur Erfüllung eines Vertrages mit der betroffenen Person kommt evident nicht in Frage, da hier die Betroffene Person und der Anfragende gerade nicht personengleich sind. Auch die Erforderlichkeit zur Erfüllung einer rechtlichen Verpflichtung kann, wie bereits ausgeführt, nicht als Rechtsgrundlage herangezogen werden.
Auch das berechtigte Interesse kommt nicht in Betracht, da man in der Annahme eines legitimen Interesses (hier: Gewährleistung eines fairen Datenzugangs) dem Erwägungsgrund Nr. 7 des Data Acts widersprechen würde, indem man diesen datenschutzeinschränkend auslegt. Zudem würde eine Interessenabwägung im Einzelfall notwendig werden, in der die Interessen, Rechte und Freiheiten der betroffenen Personen berücksichtigt werden müssten.
Eine eindeutige generelle Rechtsgrundlage nach Art. 6 DSGVO ist in solchen Situationen nicht ermittelbar und wird somit stets im Einzelfall bestimmt werden müssen.
Erhebliches Fehlerpotential
Die Bearbeitung von Datenzugangsersuchen birgt ein erhebliches Fehlerpotential: Eine irrtümliche Einordnung des Datums als personenbezogen und anschließende Verweigerung des Datenschutzbegehrens kann einen Verstoß gegen den Data Act darstellen. Eine irrtümliche Einordnung des Datums als nicht-personenbezogen mit anschließender Herausgabe kann wiederum einen Verstoß gegen die DSGVO darstellen.
Dieses Fehlerpotential wird durch aktuelle Rechtsprechung des EuGH potenziert. In einem Urteil vom 9. November 2023 (C-319/22) stellte der EuGH klar, dass in Fällen, in denen der Empfänger der Daten über Mittel verfügt, die Daten einer natürlichen Personen zuzuordnen, der relative Personenbezug auch dann gegeben ist.
Das bedeutet, dass Verantwortliche auch dann Daten als personenbezogen behandeln müssen, wenn der Empfänger dieser Daten in der Lage ist, einen Personenbezug herzustellen.
Dies führt zu der Konsequenz, dass Daten in bestimmten Kontexten als personenbezogen einzuordnen sind und in anderen Kontexten nicht. Dies macht eine sorgfältige Prüfung und Dokumentation der Datenweitergabe und der Identifikationsmittel, die dem Empfänger zur Verfügung stehen notwendig.
Ablehnung von Datenzugangsersuchen auf Basis datenschutzrechtlicher Erwägungen
Vor dem Hintergrund des eben dargestellten erheblichen Fehlerrisikos erscheint es einfach, Zugangsersuchen auf Basis datenschutzrechtlicher Erwägungen zu verweigern. Die Erfolgsaussichten eines solchen Ansatzes dürften wohl gerichtlich geklärt werden.
In diesem Zusammenhang ist aber zumindest Folgendes zu beachten: Ist das Produkt von Anfang an so konzipiert, dass die generierten Daten nur im „Mischzustand“ generiert werden können, dürfte der Data Act von Beginn an keine Anwendung finden. Die Entscheidung, ob die Daten herausgegeben werden dürfen, richtet sich somit nach der DSGVO. Bei Auseinanderfallen von Nutzer und Betroffener hat der Dateninhaber unter Umständen genug Entscheidungsspielraum, um ein Datenzugangsersuchen abzulehnen.
Es bleibt jedoch abzuwarten ob Rechtsprechung oder andere Aufsichtsbehörden Maßstäbe aufstellen, ab wann Datensätze „untrennbar“ miteinander vermischt sind und ob und inwieweit den Hersteller oder Dateninhaber eine Pflicht zur „Entwirrung“ dieser Daten trifft.
Vermischen Unternehmen nachträglich maschinengenerierte nicht-personenbezogene Daten mit personenbezogenen Daten stellt dies ein Weiterverwendung der Daten ohne Vereinbarung mit dem Nutzer und somit einen Verstoß gegen Art. 4 Abs. 13 DA dar. Zudem liegt auch eine Verarbeitung im Sinne der DSGVO vor, für die es einer Rechtsgrundlage nach Art. 6 DSGVO bedarf. In diesen Fällen dürfte, sofern nachweisbar, den Dateninhaber ein Bußgeld erwarten.
Datenzugangsrecht vs. Auskunftsanspruch
Der Data Act richtet sich im Gegensatz zur DSGVO auch an juristische Personen. Nutzer gem. Art. 2 Nr. 12 DA sind natürliche oder juristische Personen, inklusive Betroffene im Sinne der DSGVO, die ein Produkt besitzen, mieten oder leasen oder einen verbundenen Dienst beziehen. Die Rechte der DSGVO beziehen sich gem. Art. 1 Abs. 1 DSGVO hingegen nur auf natürliche Personen.
Mit dem Data Act können somit auch juristische Personen ihr Datenzugangsrecht beanspruchen, während ein Auskunftsanspruch nach Art. 15 DSGVO nur von natürlichen Personen geltend gemacht werden kann. Die nachfolgenden Überlegungen sind daher nur für die Fälle relevant, in denen eine natürliche Person seine Rechte geltend machen möchte.
Mit dem Datenzugangsrecht kann nur auf Daten zugegriffen werden, die während der Nutzung des Produkts oder des verbundenen Dienstes generiert werden. Mit dem Auskunftsrecht können alle personenbezogenen Daten, die zur Person beim Unternehmen vorliegen in Erfahrung gebracht werden. Wie oben ausgeführt dürfte der Großteil der maschinengenerierten Daten am Ende (im Verhältnis B2C) personenbezogen sein. Es käme somit die Vermutung nahe, dass das Auskunftsrecht praktisch weiterreichend wäre als das Datenzugangsrecht aus dem Data Act.
Eine unterschiedliche Betrachtungsweise könnte sich ergeben, wenn man das Zugangsrecht aus zeitlicher Perspektive bewertet. Grundsätzlich sind Hersteller und Anbieter von verbundenen Diensten dazu verpflichtet, sofern möglich, einen Zugang zu den generierten Daten in dem Produkt oder dem verbundenen Dienst selbst zu integrieren. Das würde bedeuten, dass in Fällen, in denen „Access by Design“ verwirklicht wird, die generierten Daten laufend eingesehen werden können müssten. Ein Auskunftsrecht ermöglicht nur die Einsicht in personenbezogene Daten, die ein Unternehmen zum Zeitpunkt der Geltendmachung des Anspruchs über den Anfragenden gespeichert hat. Dies hängt jedoch eindeutig von der tatsächlichen Umsetzung der Datenbereitstellungspflicht ab. In Fällen in denen eine Integration im Produkt oder dem verbundenen Dienst nicht möglich ist, muss eine Anfrage an den Dateninhaber gestellt werden. Ob diese Daten anschließend laufend zur Verfügung gestellt werden müssen ist unklar. Im Ergebnis sollen die Rechte des Nutzers aus dem Data Act die Betroffenenrechte aus der DSGVO ergänzen. Das sich hier wesentliche Unterschiede im Verfahren zum Auskunftsanspruch nach Art. 15 DSGVO ergeben scheint unwahrscheinlich.
Datenminimierungsgrundsatz vs. Datenbereitstellungspflicht
Die DSGVO verpflichtet Unternehmen, die Erhebung und Verarbeitung von Daten auf das notwendige Maß zu reduzieren. Der Data Act hingegen verpflichtet Unternehmen Daten, die durch die Benutzung eines Produktes oder eines Dienstes generiert werden, dem Nutzer gegenüber bereitzustellen. Die „massenhafte“ Bereitstellung von Daten würde der DSGVO und dem darin enthaltenen Datenminimierungsgrundsatz aber gerade zuwiderlaufen. Wie ist diesen beiden scheinbar konkurrierenden Konzepten Rechnung zu tragen?
Sofern es sich bei den Daten um nicht-personenbezogene Daten handelt, besteht mangels Anwendbarkeit der DSGVO kein Spannungsverhältnis. Hier ist vor allem auf die Anwendungsbereiche in der Industrie zu achten.
Ist der Nutzer oder der Betroffene jedoch eine natürliche Person, sieht dies anders aus. Hier ist eine Vermischung von personenbezogenen und nicht-personenbezogenen Daten je nach Auslegungsart sehr wahrscheinlich. Ausgehend davon, dass der Data Act keine Rechtsgrundlagen für die Verarbeitung personenbezogener Daten schafft, ist die Frage der Rechtmäßigkeit der Verarbeitung anhand der DSGVO zu beantworten (siehe oben). Während in den Vorgaben der DSGVO ein Hindernis in der Realisierung der Ziele des Data Acts gesehen werden kann, könnten die Vorgaben der DSGVO auch förderlich sein, indem sie bei der Datenbereitstellungspflicht und dem Datenzugangsrecht einen Datenschutz-Standard etablieren und aufrechterhalten, an die sich jeder Hersteller und Anbieter, der dem Data Act unterfällt, halten muss.
In Verbindung mit der Möglichkeit, dass die Datenschutzbehörden zuständige Behörden für die Durchsetzung des Data Acts werden, besteht jedoch auch die Gefahr, dass die DSGVO bzw. die Durchsetzung dieser den europäischen Datenhandel lähmt und somit die Hoffnung der EU-Kommission hinsichtlich eines wettbewerbsfähigen europäischen Datenmarktes begräbt.
Exzessive Geltendmachung von Geschäftsgeheimnissen
Der Data Act verpflichtet Unternehmen, Daten, die durch die Nutzung ihrer Produkte oder verbundenen Dienste generiert werden, an Nutzer bereitzustellen. Dateninhaber können sich weigern Daten bereitzustellen, sofern im Einzelfall schwere wirtschaftliche Schäden durch die Offenlegung zu befürchten sind. Die bloße Bewahrung von Geschäftsgeheimnissen ist kein ausreichender Grund. Vorliegend handelt es sich jedoch um sehr weiche, unbestimmte Voraussetzungen, sodass zu befürchten sein könnte, dass Unternehmen, die kein Interesse daran haben ihre Daten zu teilen sich weitläufig auf die Gefahr schwerer wirtschaftlicher Schäden berufen und das Vorhaben des Data Acts im Keim ersticken.
Es stellt sich die Frage, wie „raw data“, die im Rahmen der Nutzung maschinengeneriert wird überhaupt vom Geschäftsgeheimnis gedeckt sein soll. Wie oben bereits festgehalten bezieht sich das Datenzugangsrecht gerade nicht auf Daten, die in ihrer Natur stark verändern wurden, nicht direkt mit dem Produkt zusammenhängen oder im Zusammenhang mit der Aufzeichnung und Anzeige von Inhalten stehen. Die Veränderung und Auswertung der Daten wäre aber gerade erst der Punkt, wo man anfangen könnte, über Geschäftsgeheimnispflichten nachzudenken. Rohdaten hätten nicht bloß aufgrund ihrer Geheimhaltung einen kommerziellen Wert. Überdies muss eine Ablehnung schriftlich begründet werden und es muss die zuständige Behörde benachrichtigt werden.[2] Dem Nutzer steht offen, ob er eine Beschwerde bei der Behörde einreicht oder ein Schiedsgericht anruft. In der Praxis wird dies vermutlich darauf hinauslaufen, dass die Rechtsprechung die Voraussetzungen für eine rechtmäßige Ablehnung einer Datenzugangsanfrage festlegen muss.
Nutzerzentriertes Modell
Dritte haben keinen direkten Zugang zu den bereitgestellten Daten. Vielmehr sind sie auf die Initiative der Nutzer angewiesen, dass diese mit Dritten einen Vertrag über die Einräumung dieser Daten abschließen. Es bleibt zu sehen, ob Nutzer in der Lage sein werden, in digitaler Souveranität, die von ihnen genutzten Geräten produzierten Daten zu vermarkten.
Angeführte Argumente für das nutzerzentrierte Modell sind unter anderem, dass es den Verbraucherschutz verbessere und insbesondere die wirtschaftlichen Interessen der Verbraucher fördere. Ferner wird gerne das Argument verwendet, dass die Daten ohne den Nutzer nicht entstanden wären.
Es stellt sich dennoch die Frage, warum nicht auch andere Marktteilnehmer berechtigt wurden. Das Argument des Verbraucherschutzes kann nicht angeführt werden, da der Nutzerbegriff neben Verbrauchern auch Unternehmen umfasst. Ferner liegt auch keine schöpferische Leistung des Nutzers vor, sodass auch nicht von einem eigentumsähnlichen Ausschließlichkeitsrecht die Rede sein kann.
Die Nutzerzentriertheit des Data Acts dürfte zu Preiserhöhungen bei vernetzten Produkten und verbundenen Diensten führen, da die Kosten für die laufende Bereitstellung der generierten Daten und der Neukonzeption von Produkten und Diensten auf die Nutzer abgewälzt werden dürften. Die genaue Auswirkung des Data Acts auf den Innovationsanreiz bleibt zu sehen.
Ob und inwieweit natürliche Personen aber überhaupt in den Datenhandel einsteigen werden bleibt abzuwarten. Der Datenhandel dürfte sich primär zwischen Unternehmen abspielen, für die eine Einsicht in die eigens generierten Daten einen erheblichen Mehrwert darstellen wird. Auch der Abschluss eines Datenlizenzvertrages (zu eigenen Bedingungen) dürfte Unternehmen einfacher fallen als einer natürlichen Person.
(Eine ausführlichere Auseinandersetzung mit der Nutzerzentriertheit des Data Acts finden Sie hier: Funk, Axel, Das Prinzip der Nutzerzentriertheit des Data Act – ein gravierender Strukturfehler, CR 2023, 421-427)
Fazit
Der Data Act ist nicht perfekt und wird auch nicht alle Beteiligten (naturgemäß) glücklich machen. Mit Inkrafttreten und Anwendbarkeit des Data Acts werden viele Fragen geklärt werden müssen. Dies war aber mit Inkrafttreten der DSGVO nicht anders. Politik, Rechtsprechung und Praxis werden Lösungen erarbeiten, die diesen Problemen und weiteren begegnen.
Fragen?
Sie haben Fragen zum Data Act? Dann nehmen Sie doch einfach mit uns Kontakt auf! Gerne helfen wir Ihnen weiter.