Die Datenschutzbehörde in Hamburg gibt mit dem jüngst veröffentlichten Leitfaden „Der Data Act als Herausforderung für den Datenschutz“ eine wertvolle Orientierung für Unternehmen und Organisationen zu dem neuen europäischen Datengesetz, dem EU Data Act, welcher verbindlich ab dem 12. September 2025 gilt.
Neben einem Überblick über die Inhalte und Anforderungen des Gesetzes, erläutert es bestehende Handlungsbedarfe und skizziert die eigene Aufsichtsbefugnis. Die Handreichung enthält auch eine detaillierte Analyse für die wichtigsten Herausforderungen und notwendigen Schritte für Unternehmen im Hinblick auf das Zusammenspiel mit der Datenschutzgrundverordnung (DSGVO).
Hersteller von mit dem Internet verbundenen Geräten werden durch den Data Act verpflichtet, die von den Geräten erzeugten Daten mit Dritten zu teilen (auf Wunsch des jeweiligen Nutzers). Maschinen, Haushaltsgeräte und Fahrzeuge, die mit dem Internet verbunden sind, erzeugen täglich große Mengen an (Roh-)Daten. Der Data Act soll sowohl Gerätenutzern als auch Dritten, wie z.B. Werkstätten, Ersatzteilherstellern, Forschern und anderen Organisationen oder Unternehmen zugute kommen und diesen ermöglichen diese erzeugten Daten (auch für eigene Zwecke) zu nutzen.
Beispiel: Ein Fahrzeughalter möchte eine Inspektion seines Kfz in einer von ihm ausgesuchten Werkstatt durchführen lassen. Der Data Act gewährleistet, dass die Werkstatt alle Nutzungsdaten erhält, die das Fahrzeug an den Hersteller übermittelt hat. Davon sollen beispielsweise auch Werkstätten profitieren, die keine Vertragswerkstatt des Herstellers sind und sonst nicht ohne Weiteres auf die Daten zugreifen könnten.
Unternehmen und betroffene Organisationen stehen damit vor der herausfordernden Aufgabe, nicht nur die Anforderungen des Data Acts umzusetzen (insbesondere den Zugang zu Daten zu gewähren) sondern zugleich auch datenschutzrechtliche Anforderungen nach der DSGVO einzuhalten.
Der Data Act adressiert auch das sog. „Cloud Switching“: Diese Regelungen sind wirtschaftlich ebenfalls bedeutsam. Anbieter von „Datenverarbeitungsdiensten“ müssen durch technische Maßnahmen sicherstellen, dass Kunden problemlos zu einem anderen Anbieter – inklusive ihrer Daten – wechseln können. Damit sollen bisherige Lock-In Effekte aufgelöst werden.
☝ Die wichtigsten Punkte aus dem Leitfaden:
➡️ Data Access & Sharing: Das Datengesetz zielt darauf ab, Datenmonopole zu brechen, indem es Nutzern und Dritten Zugang zu Daten gewährt, die von vernetzten Produkten (IoT) erzeugt werden. Dies umfasst sowohl personenbezogene als auch nicht-personenbezogen Daten.
➡️ Vorrang der DSGVO: Entscheidend ist, dass der Zugriff bzw. die Weiterleitung von personenbezogenen Daten auch nach dem Data Act nur dann zulässig ist, wenn dieser im Einklang mit der Datenschutz-Grundverordnung steht. Insbesondere muss hierfür eine datenschutzrechtliche Rechtsgrundlage vorliegen. Im Falle eines Konflikts hat die DSGVO Vorrang, so die Behörde. Die Feststellung, ob Daten personenbezogen sind oder nicht (insbesondere bei gemischten Datensätzen relevant), ist eine wichtige Aufgabe für die Adressaten des Data Acts.
➡️ Geschäftsgeheimnisse: Datenschutz ist nicht der einzige mögliche Hinderungsgrund, der einem Datenzugang entgegenstehen kann. So können beispielsweise Zugangsansprüche mit der Begründung abgelehnt werden, dass die betreffenden Daten Geschäftsgeheimnisse sind. Dafür ist es notwendig, darlegen zu können, dass nicht nur der subjektive Wunsch besteht, die Informationen für sich zu behalten. Vielmehr muss ein objektives Geheimhaltungsbedürfnis in dem Sinne bestehen, dass die Verbreitung der Informationen einen Schaden nach sich ziehen würde. Die Einstufung von Daten als Geschäftsgeheimnis sollte in der Datenübersicht entsprechend
festgehalten werden.
➡️ Unternehmensvorbereitungen: Unternehmen sind gut beraten sich schon JETZT vorzubereiten, indem sie:
- prüfen, ob sie in den Anwendungsbereich fallen (Hersteller, Dateninhaber, Nutzer, Cloud-Anbieter).
- eine umfassende Übersicht über ihre Datenbestände und Datenquellen erstellen
- eindeutige Klassifizierung der Daten (personenbezogene vs. nicht-personenbezogene vs. Geschäftsgeheimnisse) vornehmen
- technische Schnittstellen für den Datenzugriff einrichten, wo dies nötig und möglich ist
- Musterverträge und Einwilligungserklärungen erstellen
- Informationspflichten im Einklang mit der DSGVO umsetzen.
➡️ Aufsichtsstruktur: Die Behörde aus Hamburg geht davon aus, dass die Landes-Datenschutzbehörden ab September 2025 automatisch die zuständigen Aufsichtsbehörden sind (Art. 37 (3) DSGVO). Im Gegensatz dazu soll nach § 3 des Referentenentwurf des nationalen Data Act Durchführungsgesetz für Deutschland die Zuständigkeit für die Überwachung der Anwendung der DSGVO im Rahmen des Data Act auf die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) übertragen werden. Es bleibt abzuwarten, wie die Aufsicht tatsächlich ausgestaltet wird…
EN 
DE