Data Governance Act und Data Act: Neue Verordnungen in Sicht

Zwei neue Verordnungen der EU kommen auf uns zu.

15.08.2022

Wer im Jahr 2018 dachte, mit der DSGVO hätten wir nun genug Regulierung zum Datenschutz, hat sich geirrt. Zum einen kam mit Wirksamwerden der DSGVO gleich noch ein neues Bundesdatenschutzgesetz (BDSG) sowie diverse Landesdatenschutzgesetze (LDSG). Zum anderen haben wir zum 01.12.2021 das TTDSG (der ausgeschriebene Name ist so lang, auf den verzichten wir hier) bekommen. Der EuGH war auch fleißig, ebenso die deutschen Gerichte und die Aufsichtsbehörden für den Datenschutz, somit liegt auch bereits einiges an Rechtsprechung vor, was ebenfalls zu berücksichtigen ist. Vorerst letzter Coup der Gerichte: Das Google Fonts Thema welches auch bereits für bundesweite Auswirkungen sorgt.

Tja und jetzt ist mal wieder die EU fleißig. Dürfen wir vorstellen: Der Data Act (DA) und der Data Governance Act (DGA).

Der DGA, auch bekannt unter dem sprechenden Namen Verordnung (EU) 2022/868, wurde am 03.06.2022 im Amtsblatt der EU veröffentlicht (L 152/1), trat zum 24.06.2022 in Kraft und ist anwendbar ab dem 24.09.2023. Es gibt (bzw. gab) also 15 Monate Übergangszeit.

Zum Data Act existiert bislang ein Entwurf der EU-Kommission, die korrekte und im nachfolgenden Text verwendete Bezeichnungen ist also DA-E.

Kurz der Vollständigkeit halber: Es gibt noch einen weiteren Verordnungsentwurf, nämlich den zur KI-Verordnung. Diesem hatten wir allerdings bereits im April einen eigenen Artikel gewidmet. Daher gehen wir im vorliegenden Artikel nicht weiter darauf ein.

Der Data Governance Act

Der DGA soll Bedingungen für die Weiterverwendung von Daten, die durch öffentliche Stellen, also Behörden, verarbeitet werden, schaffen. Die öffentlichen Stellen sollen hierdurch die Möglichkeit (Achtung: Nicht die Verpflichtung) haben, Daten zur weiteren Verwendung zur Verfügung zu stellen. Hierzu soll es ebenfalls im DGA regulierte Datenvermittlungsdienste geben. Diese sollen als Plattform zwischen den liefernden Behörden sowie liefernden natürlichen Personen und den Datenempfängern dienen.

Die Tatsache, dass auch natürliche Personen als Lieferanten ihrer eigenen personenbezogenen Daten vorgesehen sind, hat uns überrascht, ist aber letztlich nur konsequent. Vor dem Hintergrund, dass es darum geht, möglichst umfangreiche Datenmengen aus möglichst vielfältigen Quellen für sinnvolle Zwecke weiternutzen zu wollen, macht es durchaus Sinn, dass auch natürliche Personen, selbstverständlich nur die betroffenen Personen selbst, Ihre eigenen Daten zur Verfügung stellen können.

Die Datenvermittlungsdienste sollen hier die Schnittstelle bilden, um für Anonymität zu sorgen. Diese Pflicht obliegt auch den öffentlichen Stellen, welche die Daten ggf. direkt, also ohne Zwischenschaltung eines Datenvermittlungsdiensts, zur Weiterverwendung freigeben: Art. 5 Abs. 3 lit. a DGA verlangt, dass personenbezogene Daten anonymisiert werden (Ziff. i) und dass (Ziff. ii) vertrauliche Geschäftsinformationen verändert, aggregiert oder anderweitig aufbereitet werden, so dass die Rechte der Lieferant*innen nicht beeinträchtigt werden. Die Daten dürfen zum Abruf bereitgestellt werden.

Auch die Weitergabe personenbezogener Daten ist erlaubt, allerdings nur unter dem Regime der DSGVO. Es muss also eine anwendbare Rechtsgrundlage vorhanden sein. Außer in sehr wenigen Ausnahmen wird es sich hierbei wohl um die Einwilligung der betroffenen Person handeln müssen.

Der Entwurf des Data Act

Der Entwurf des Data Act (DA-E) soll Regelungen treffen, die gelten, wenn Daten im europäischen Binnenmarkt verwertet und/oder geteilt werden sollen. Hierbei handelt es sich in vielen Fällen um personenbezogene Daten, die nur entstehen können, weil die betroffenen Personen an deren Entstehung mitgewirkt haben. Ein beliebtes Beispiel sind die Daten, die im Auto entstehen. Hunderte von Sensoren sammeln während der Fahrt laufend Daten über das Beschleunigungs- und Bremsverhalten, über die Orte, an denen sich das Fahrzeug befindet, sowie technische Daten wie Motortemperatur oder Abgaswerte. Hinzu kommen individuelle Einstellungen wie die der Spiegel und Sitze, der Klimaanlage etc. Und es werden Nutzungsdaten des Entertainmentsystems, des Navigationssystems, die Telefonnutzung und zahlreiche weitere personenbezogene Daten verarbeitet und zahlreiche davon sicher auch gespeichert. Darüber hinaus werden im Falle von Unfällen auch die in diesem Zusammenhang erfassten Daten gesammelt und gespeichert.

Betroffen davon sind neben den Halter*innen, denen diese Daten (mehr oder weniger) direkt zugeordnet werden können, auch die Fahrer*innen und Beifahrer*innen. Alle diese Beteiligten produzieren Daten und alle diese Daten können miteinander in Beziehung gebracht werden. Aktuell “gehören” diese Daten Kraft der Zugriffsmöglichkeiten ausschließlich dem Fahrzeughersteller und gegebenenfalls denjenigen Empfängern, denen der Fahrzeughersteller den Zugriff darauf erlaubt. Dies sind aktuell vermutlich hauptsächlich Automechatroniker*innen in den Werkstätten, unter Umständen die KFZ-Versicherung sowie im Falle von Unfällen Ermittlungsbehörden und Gerichte. Auffällig ist, dass die betroffenen Personen selbst bislang nahezu keinen Zugriff auf diese Daten haben und von deren bloßer Existenz größtenteils gar nichts wissen. Zwar muss beim Neuwagenkauf eine mehr oder weniger lange Datenschutzinformation abgenickt werden, diese wird sich vermutlich nur ein Promilleanteil der Neuwagenkäufer*innen auf dem winzigen Bildschirm des Entertainmentsystems durchgelesen haben. Spätestens beim Gebrauchtwagenkauf aber fehlt diese Datenschutzinformation komplett.

Dies soll sich zukünftig ändern. Jede Person, die an der Entstehung von Daten beteiligt war, soll Zugang zu diesen Daten erhalten. Die DSGVO soll hierbei gem. Art. 1 Abs. 3 DA-E weiter gelten. Allerdings soll die DA-E nicht nur für personenbezogene Daten gelten, sondern für alle Arten von Daten. Sofern es beim Auto also unterschiedliche Meinungen geben sollte, ob es sich bei den Abgaswerten um ein personenbezogenes Datum handelt, ist die gute Nachricht: Das ist unerheblich, sie sind vom DA-E mit umfasst.

Um die Regelungen zu definieren, wird zusätzlich zum in Art. 4 Nr. 7 DSGVO definierten Verantwortlichen in Art. 2 Abs. 6 DA-E der Begriff des Dateninhabers eingeführt. Dieser wird definiert als die*derjenige, die*der “berechtigt oder verpflichtet ist, bestimmte Daten zur Verfügung zu stellen, oder im Falle nicht personenbezogener Daten und durch die Kontrolle der technischen Gestaltung des Produkts und der damit verbundenen Dienste dazu in der Lage ist“. In Bezug auf personenbezogene Daten wird hiermit neben den Rechten der betroffenen Person ein weiterer Herausgabetatbestand für die Verantwortlichen (beziehungsweise die Dateninhaber) definiert.

Die Herausgabe an Dritte wird vom DA-E ausdrücklich vorgesehen, allerdings an eine gültige Rechtsgrundlage gem. Art. 6 DSGVO (bei besonderen Kategorien personenbezogener Daten i. V. m. Art. 9 DSGVO) gebunden. Der DA-E könnte ein bisschen wie ein erweitertes Recht auf Datenportabilität, welches sich auch auf nicht-personenbezogene Daten bezieht, angesehen werden.

Wichtig für alle Unternehmen, die Maschinen (einschließlich KFZ) herstellen und Zugriff auf diese Daten haben, ist nun, entsprechende Möglichkeiten vorzusehen und umzusetzen, dass die betroffenen Personen über ihre Daten verfügen können. Minimalanforderung dürfte sein, die Daten in einem brauchbaren Format auf einem für die betroffenen Personen barrierefrei nutzbaren technischen Weg zur Verfügung zu stellen.

Zusammenspiel der beiden Acts

Data Governance Act und Data Act (Entwurf) gehen Hand in Hand. Der DGA ermöglicht den Behörden die Nutzung eines riesigen Datenschatzes. Wir befürchten allerdings, dass ein Großteil der Rohdaten dieses Schatzes in Papierform vorliegen könnte. Zumindest die aggregierten Daten sollten aber nahezu vollständig digital vorliegen. Der DA-E betrifft die von betroffenen Personen direkt oder indirekt generierte Datenschätze. Diese können zum einen über die im DGA definierten Datenvermittlungsdienste Dritten zur Verfügung gestellt werden. Zum anderen können nun alle Personen endlich Zugriff auf ihre eigenen Daten nehmen und diese für eigene Zwecke nutzen.

Fazit

Es bleibt weiter spannend in Sachen der Datenschutz-Gesetzgebung. Der EU-Gesetzgeber hat erkannt, dass sich die Welt weiterdreht und dass die Nutzung, auch sehr großer Mengen von Daten – seien sie personenbezogen oder nicht – mittlerweile notwendig ist. Gleichzeitig wird der Versuch gemacht, die betroffenen Personen weiterhin in die Lage zu versetzen, die Kontrolle über ihre Daten zu behalten. Dies dürfte ein ziemlicher Balanceakt werden und wir sind gespannt, wie das Zusammenspiel der drei beziehungsweise vier Verordnungen (wir denken hier zusätzlich an die KI-Verordnung und die DSGVO darf auch nicht vergessen werden) in der Praxis funktionieren wird.

______________________________________

Die bITs GmbH berät Ihre Kunden zu allen Themen des Datenschutzes und stellt auf Wunsch den externen Datenschutzbeauftragten.

Haben Sie weitere Fragen an uns? Gerne können Sie sich dazu an uns wenden. Hier finden Sie unsere Kontaktdaten. Unser Team stellt sich übrigens hier vor.

Und einen Podcast haben wir auch. Gemeinsam mit der Mauß Datenschutz GmbH veröffentlichen wir alle zwei Wochen jeweils donnerstags eine neue Folge. Hören Sie doch einfach mal rein oder abonnieren Sie uns – zum Beispiel hier.