Data Act - Teil 2: Abgrenzung zur DSGVO

Auch wenn Daten in unserer vernetzten Welt eine zentrale Rolle spielen, wird ihr Potential bei weitem nicht ausgeschöpft. Die EU-Kommission will eine gerechte Verteilung der Wertschöpfung aus Daten gewährleisten und die Datennutzung fördern. Dazu hat sie im Frühjahr den Entwurf eines Datengesetzes vorgelegt. Es regelt erstmalig und umfassend die Datengovernance beim Nutzen von Produkten und verbundenen Diensten. Übergeordnetes Ziel ist es, die Innovations- und Wettbewerbsfähigkeit von Unternehmen sämtlicher Branchen sicherzustellen.

Im zweiten Teil der Serie gehe ich darauf ein, wie Datengesetz und DSGVO zusammenspielen und welche Fragen sich daraus ergeben.

Während die DSGVO den Schutz der personenbezogenen Daten im Blick hat, stellt das Datengesetz den Dateninhaber in den Mittelpunkt. Er kann sich umfassende Rechte an den Daten einräumen lassen. Das Datengesetz schränkt das Schutzniveau der DSGVO nicht ein. Vielmehr ergänzt es sie im Bezug auf solche Daten, die durch ein Produkt oder einen Verbundenen Dienst erzeugt werden. Dabei sind unterschiedliche Konstellationen denkbar.

Abgrenzung personenbezogener und nicht-personenbezogener Daten

In der Praxis lassen sich personenbezogene Daten und nicht-personenbezogene Daten nicht immer einfach trennen. Schon die Abgrenzung zwischen beiden Datentypen ist nicht eindeutig. In Erwägungsgrund 30 des Datengesetzes heißt es, dass die DSGVO auch dann gelten soll, wenn personenbezogene und nicht-personenbezogene Daten in einem Datensatz untrennbar miteinander verbunden sind. Personenbezogene Daten dürfen jedoch nicht ohne Rechtsgrundlage und Zweckbindung an Dritte weitergegeben werden. Es ist daher fraglich, ob der Entwurf des Datengesetzes ausreichende Rechtsgrundlagen im datenschutzrechtlichen Sinne formuliert.

Das Verhältnis von Nutzer und betroffener Person

Wenn der Nutzer die betroffene Person ist, erfolgt der Datenzugang auf der Grundlage seiner eigenen Einwilligung. Wenn er hingegen nicht die betroffene Person ist und den Datenzugang verlangt, dann sind die Ansprüche durch die DSGVO geregelt. Das Datengesetz muss den Anforderungen anderer Erlaubnistatbestände der DSGVO genügen. Die Datenzugangsverpflichtung des Datengesetzes wird dann durch die Vorgaben der DSGVO beschränkt. Man darf annehmen, dass der Gesetzgeber bei der Erfüllung des Datenzugangsanspruchs zumindest von einer Gleichrangigkeit der Datenverarbeitungsinteressen ausgegangen ist.

Übermittlung personenbezogener Daten an Dritte

Das Übermitteln von personenbezogenen Daten im Rahmen des Datengesetzes ist dann problematisch, wenn eine nicht betroffene Person, die gleichzeitig Nutzer ist, personenbezogene Daten eines anderen an Dritte übermitteln will. In diesem Fall ist der Erwägungsgrund 24 im Datengesetz relevant.

Nach Erwägungsgrund 24 kann das Datengesetz selbst nicht als Rechtsgrundlage für eine Verarbeitung nach Art. 6 c der DSGVO herangezogen werden. Hier bleibt allein Art. 6 f DSGVO, wobei in der Interessenabwägung wohl beachtet werden muss, dass der europäische Gesetzgeber dem Datenzugangsrecht ein hohes Verarbeitungsinteresse beimisst. Die Datenzugangsverpflichtungen des Datengesetzes können in diesem Fall nach dem Wortlaut von Erwägungsgrund 24 nicht als neue Rechtsgrundlage gelesen werden. Es ist aber noch nicht klar abzusehen, wie sich das Verhältnis zur DSGVO im Einzelfall gestalten wird.

Angesichts des Umfangs der Verordnung ist es eine Herausforderung, die für das eigene Unternehmen relevanten Änderungen im Blick zu behalten. Wir unterstützen Sie dabei und beraten bei allen Aspekten rund um das IT-Recht. Dabei helfen wir ihnen, relevante Themen zu identifizieren und vertraglich zu regeln.

Data Act Serie:

  1. Einleitung: Aufbau und Inhalt

  2. Abgrenzung zur DSGVO

  3. Abgrenzung zu anderen Rechtsakten

  4. Wer sind die Adressaten?

  5. Rechte und Pflichten der Beteiligten?

Michaela Witzel, LL.M. (Fordham University School of Law),
Fachanwältin für IT-Recht
witzel@web-partner.de