Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat die Orientierung mit der Handreichung „Der Data Act als Herausforderung für den Datenschutz“ veröffentlicht. Die Handreichung gibt einen Überblick über die Inhalte des Data Acts, zeigt Handlungsbedarfe auf und skizziert die Möglichkeiten der datenschutzbehördlichen Aufsicht.
Der Data Act (im Folgenden – Data Act, DA) tritt ab dem 12. September 2025 in Kraft.
Er zielt darauf ab, bislang bestehende Monopole auf den Zugang zu Daten von vernetzten Geräten aufzubrechen. Hersteller internetfähiger Geräte sind dann verpflichtet, die von diesen Geräten gesendeten Daten auch mit Dritten zu teilen. Im Fokus steht das Internet der Dinge (IoT), zu dem vernetzte Maschinen, Fahrzeuge, Haushaltsgeräte, Fernseher sowie Medizin- und Fitnessgeräte gehören.
DA und DSGVO (Datenschutz-Grundverordnung)
Ein zentraler Punkt der Handreichung ist das Zusammenspiel aus DA und DSGVO.
Der Data Act „gilt unbeschadet des (…) Rechts über den Schutz personenbezogener Daten“. Dies bedeutet, dass die DSGVO unberührt bleibt und im Falle eines Widerspruchs Vorrang genießt. Kein Datenzugang darf gewährt werden, der nicht als zulässige Datenverarbeitung nach der DSGVO gedeckt ist.
Das Herzstück des DAs, die Zugangsansprüche, gilt zwar für nichtpersonenbezogene und personenbezogene Daten (unter Berücksichtigung der DSGVO). Die Klärung des Personenbezugs spielt daher eine führende Rolle.
Verpflichtungen unter dem Data Act
- Datenzugang: Hersteller sind verpflichtet, die von vernetzten Geräten gesendeten Daten mit Dritten zu teilen.
- Schnittstellen: Soweit „relevant und technisch durchführbar“ (Art. 3 Abs. 1 DA), ist der Zugang direkt über eine Schnittstelle zu gewähren.
- Notstandsregelungen: In Fällen außergewöhnlicher Notwendigkeit (z. B. Naturkatastrophen) könnte die Herausgabe von Daten verlangt werden.
- Cloud Switching: Maßnahmen implementieren, damit NutzerInnen einfacherer zu anderen Anbietern wechseln können.
- Internationaler Datenverkehr: DA unterwirft auch nichtpersonenbezogene Daten territorialen Grenzen. Die Logik unterscheidet sich jedoch hier von der DSGVO.
Wesentliche Umsetzungstätigkeiten für Unternehmen
- Prüfung des Anwendungsbereichs: Nicht alle Unternehmen, die Daten verarbeiten, unterliegen auch Pflichten aus dem DA.
- Erstellung einer Datenübersicht: Wer verpflichtet ist, Zugang zu Informationen zu gewähren, sollte sich zunächst einen Überblick verschaffen, welche Daten vorhanden sind. Dafür kann das Verzeichniss der Verarbeitungstätigkeiten (Art. 30 DSGVO) hilfreich sein.
- Klärung des Personenbezugs: Es muss präzise dargelegt werden können, ob ein Datum nichtpersonenbezogen ist und deshalb offengelegt werden muss, oder ob es personenbezogen ist und deshalb gegebenenfalls zurückgehalten werden muss.
- Kennzeichnung von Geschäftsgeheimnissen: Datenschutz ist nicht der einzige mögliche Hinderungsgrund, der einem Datenzugang entgegenstehen kann.
- Einrichten von Schnittstellen: Wenn es „relevant und technisch durchführbar, sind die vernetzte Produkte grundsätzlich so zu konzipieren, dass NutzerInnen einfach auf die von ihnen generierten Daten zugreifen, sie nutzen und teilen können.
- Vorbereiten von Verträgen (insbesondere Lizenzverträge und ggf. Einwilligungen): Wer künftig zum Abschluss von Lizenzverträgen mit NutzerInnen und DatenempfängerInnen verpflichtet ist, sollte entsprechende Muster vorbereiten.
- Die Gewährleistung von Transparenz: DA enthält Informationspflichten unter anderem bei Vertragsschluss über ein vernetztes Produkt, die den Datenschutzinformationen nach Art. 13 DSGVO ähneln.
Der Data Act bringt signifikante Änderungen für Unternehmen mit sich. Das Zusammenspiel mit der DSGVO erfordert eine präzise Beurteilung des Personenbezugs von Daten und die Sicherstellung einer rechtmäßigen Datenverarbeitung.
Eine frühzeitige Auseinandersetzung mit den neuen Pflichten und die Einbeziehung der Datenschutzbeauftragten in Unternehmen sind entscheidend, um die Anforderungen des DAs und die Einhaltung des Datenschutzes gleichermaßen zu gewährleisten
Wir vom ePrivacy-Team unterstützen Sie gerne bei der Implementierung des Data Acts.