Die EU-Kommission hatte den Entwurf des sogenannten „Data Acts“ vorgelegt, eine neue Verordnung zur Nutzbarkeit von Daten zur Wohlfahrtssteigerung im Binnenmarkt. Rat und Parlament haben sich dieses Jahr auf einen Wortlaut für das neue Regelwerk geeinigt. Was dies aus datenschutzrechtlicher Sicht für Ihr Unternehmen bedeutet, erklären wir Ihnen hier.
Worum geht es?
In unserer digitalisierten Gesellschaft werden immer größere Datenmengen erzeugt – nicht nur personenbezogene Daten, sondern auch z.B. auch Daten, die im Rahmen von industriellen Fertigungsprozessen entstehen. Viele dieser Daten bleiben ungenutzt oder werden nur von wenigen großen Unternehmen mit marktbeherrschender Stellung verwendet. Laut EU-Kommission werden 80% der von der Industrie gesammelten Daten nie genutzt. Damit geht ein erhebliches Innovations- und Entwicklungspotenzial verloren.
Bessere Nutzbarkeit von Daten
Die Grundidee des Data Act ist es daher, vor allem kleinen und mittleren Unternehmen (KMU) die Möglichkeit zu geben, an den immensen Datenmengen zu partizipieren, die Global Player wie Meta, Google oder Apple gesammelt haben und weiter sammeln werden. Diese Daten sollen es den KMU ermöglichen, ihre eigenen Dienstleistungen zu verbessern. Da die großen Konzerne ihre Datensätze in der Regel nicht freiwillig herausgeben und eine Datenanfrage durch die kleinen Unternehmen zu Repressalien führen könnte, hat sich der EU-Gesetzgeber für einen Mittler entschieden – den Verbraucher. Dieser Verbraucher kann beispielsweise verlangen, dass die Gesundheitsdaten, die sein Smartphone über die eigene Fitness-App gespeichert und verarbeitet hat, an das Start-up-Unternehmen geschickt werden, dessen Fitness-App er nun nutzen möchte.
Wie ist das Verhältnis zur DSGVO?
Anders als bei der Datenschutzgrundverordnung geht es im Data Act nicht um Fragen des Schutzes personenbezogener Daten. Vielmehr sollen Daten, die nicht notwendigerweise personenbezogen sind, wirtschaftlich optimal verwertet werden können. Neben das Datenschutzrecht tritt somit nun das Datenwirtschaftsrecht.
Unternehmen, bei denen eine Vielzahl von Daten anfällt, und die in den letzten Jahren mit der Umsetzung der DSGVO gekämpft haben, werden vom Vorhaben der EU-Kommission vielleicht irritiert sein. Nachdem es vor allem seit 2018 vornehmlich um Themen wie Zweckbindung, Vertraulichkeit und Datenminimierung ging, sollen nunmehr Hindernisse abgebaut und Daten freier ausgetauscht und wirtschaftlich verwertet werden können.
Können Unternehmen auf Erleichterungen hoffen?
Wer hofft, dass Unternehmen durch den Data Act künftig geringere Anforderungen an den Datenschutz, also den Schutz personenbezogener Daten, erfüllen müssen, wird wohl enttäuscht werden. Bereits im aktuellen Entwurf wird klargestellt, dass der Data Act die Anwendung der Datenschutz-Grundverordnung unberührt lassen soll. Eine Absenkung des europäischen Datenschutzniveaus soll es also gerade nicht geben.
Vielmehr ist derzeit davon auszugehen, dass die Situation für Unternehmen nicht einfacher, sondern komplizierter wird. Wie Konflikte zwischen der Datenschutzgrundverordnung und dem Datenschutzgesetz in Zukunft gelöst werden sollen, ist noch völlig offen. Aus dem Entwurf und der DSGVO lässt sich nicht ableiten, dass das Datenschutzrecht immer wichtiger ist als die wirtschaftliche Nutzung von Daten – aber auch nicht umgekehrt. Es ist aber bereits jetzt absehbar, dass es zu solchen Konflikten kommen wird.
Mehr Compliance erforderlich und auch noch mehr Datenschutz?
Verantwortliche und Auftragsverarbeiter können sich, wenn das Datenschutzgesetz so kommt, über ein neues Etikett des EU-Gesetzgebers freuen: den „Dateninhaber“. In einigen Fällen werden Unternehmen plötzlich auch „Hersteller“ im Sinne des Gesetzes sein. Diese Bezeichnungen kommen natürlich nicht ohne neue Pflichten.
Accessability by Design
Der Produkthersteller muss z.B. sicherstellen, dass die bei der Nutzung seines Produktes anfallenden Daten für den Nutzer einfach, sicher und direkt zugänglich sind „Accessability by Design“. Unter Berücksichtigung der weiterhin geltenden Prinzipien „Privacy by Design“ und „Privacy by Default“ muss dies selbstverständlich datenschutzkonform erfolgen.
Weiterer Aufwand droht
Und auch weil der Data Act gerade nicht nur für personenbezogene Daten gilt, droht Unternehmen weiterer Aufwand:
Stellt ein Unternehmen beispielsweise intelligente Kaffeemaschinen her, so konnten diese bisher mit wenigen personenbezogenen Daten wie einer IP-Adresse betrieben werden. Muss das Unternehmen aufgrund des Datenschutzgesetzes dem Nutzer einen umfassenden Zugriff auf die generierten Daten ermöglichen, wird es dafür absehbar mehr personenbezogene Daten verarbeiten müssen als bisher, etwa um sicherzustellen, dass der Nutzer auch berechtigt ist, auf die von ihm generierten Daten zuzugreifen. Der Grundsatz der Datensparsamkeit ist damit nicht mehr gewahrt und das Unternehmen muss mehr personenbezogene Daten speichern und schützen.
Der Aufwand für den Datenschutz steigt
Gleichzeitig wird in diesem Fall das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO durch den Data Act ergänzt. Das Recht auf Datenübertragbarkeit nach der DSGVO gilt nur für personenbezogene Daten, die mithilfe automatisierter Verfahren verarbeitet werden. Durch den Data Act wird dieses Recht auf vernetzte Produkte ausgeweitet, so dass Nutzerinnen und Nutzer auf alle von ihrem Produkt generierten personenbezogenen und nicht personenbezogenen Daten zugreifen und diese übertragen können. Dies erfordert ein umfassenderes Management der Rechte der Betroffenen.
Welche Unternehmen sind besonders betroffen?
Wie eingangs erwähnt, zielt der Data Act allen voran auf die Global Player mit großen Datenmengen ab. Allerdings sind ebenso Cloud-Anbieter sowie Anbieter von Datennutzungs- und Lizenzvereinbarungen im Fokus des kommenden Gesetzes, da diese verpflichtet sein werden Interoperabilität durch offene Schnittstellen zu gewährleisten. Sinn der offenen Schnittstellen ist den sog. Lock-in-Effekt zu unterbinden, bei denen ein Kunde so stark an eine Marke gebunden ist, dass ein Wechsel nur mit einem erheblichen Aufwand und relativ hohen Kosten möglich ist. Der Data Act soll hier weiter den Wettbewerb fördern.
Zusätzliche Bußgeldfallen
Zu befürchten ist, dass der Data Act nicht nur neuen Compliance-Aufwand mit sich bringt, sondern auch neue Bußgeldfallen für Unternehmen drohen, etwa wenn sie bei der Umsetzung des Data Acts gegen Vorschriften der DSGVO verstoßen.
Darüber, ob Sie vom Data Act betroffen sind und an welche Vorgaben Sie sich in diesem Fall im Einzelnen halten müssen, informieren wir Sie gerne!
Hinweis
Der Data Act und die damit verbundenen Chancen und auch Pflichten für Unternehmen wird u.a. auch Gegenstand des diesjährigen Legal Data Camps am 09. November 2023 in Mainz sein.
Seien Sie dabei: https://www.rmprivacy.de/legal-data-camp-by-rmprivacy/
Bildnachweis für diesen Beitrag © sizsus stock. adobe. com