Im Rahmen ihrer Datenstrategie vollzog die EU-Kommission ab 2020 eine Kehrtwende in der rechtlichen Behandlung von personenbezogenen Daten: Während die geltende Datenschutz-Grundverordnung (DSGVO) einen sehr restriktiven Ansatz verfolgt, stellen alle derzeit in diesem Bereich geplanten Verordnungen die Wertschöpfung und die Förderung der Datenwirtschaft in den Vordergrund. Weil die DSGVO dennoch nicht angetastet werden soll, sind Widersprüche vorprogrammiert.

Im c't-Datenschutz-Podcast exerzieren Redakteur Holger Bleich und Verlagsjustiziar Joerg Heidrich diese Ungereimtheiten anhand des Data Acts, also des auf Deutsch so bezeichneten "Datengesetzes", einmal durch. Dazu haben sie eine absolute Expertin eingeladen: Stephanie Richter beschäftigt sich als Rechtsanwältin und Associate in der Kanzlei TaylorWessing seit längerem mit der Genese des Data Acts, und hat dabei auch die Konflikte des Entwurfs mit den bestehenden DSGVO-Regelungen seziert.

12 Monate Schonfrist

Den ersten Entwurf zum Data Act hat die EU-Kommission im Februar 2022 vorgelegt. Mittlerweile haben sich Rat und EU-Parlament auf Positionen zu dem Vorschlag festgelegt, und das Gesetzeswerk durchläuft die Kompromissfindung im Trilogverfahren. Eventuell wird dieser Kompromiss noch in diesem Monat stehen, sodass der Data Act bald verabschiedet werden könnte. Vermutlich bleiben dann Unternehmen gerade einmal zwölf Monate, um alle Forderungen technisch und organisatorisch umzusetzen.

Und die haben es in sich: Der Data Act soll dafür sorgen, dass Daten, die von Geräten gesammelt werden, nicht in Silos (Clouds) der Hersteller verbleiben, sondern auf Wunsch der Dateninhaber über Vermittlungsdienste gehandelt werden können. Dabei kann es um Fahrzeuge genau wie um IoT-Geräte oder Sprachassistenten gehen. Betroffen sind Verbraucher als Nutzende genauso wie Unternehmen. Es geht um "Accessability by Design", also um Interoperabilität und Schnittstellen.

Schwächung des Datenschutzes?

Stephanie Richter weist darauf hin, dass Datenpools meist aus einem unsortierten Bestand von personenbezogenen und anonymen Daten bestehen, sogenannten "Mischdaten". Die mit dem Data Act einhergehende Pflicht für Hersteller, diese Daten zugänglich zu machen, kollidiere mit dem Gebot zur Datenminimierung in der DSGVO. Würden Mischbestände weit ausgelegt, drohe eine Schwächung des Datenschutzes. Umgekehrt könnten Unternehmen den Datenschutz vor sich hertragen, um den Forderungen des Data Acts zu entgehen.

Die Rechtsanwältin schildert im Podcast weitere Kollisionen und weist außerdem auf die Problematik hin, dass Daten auch Geschäftsgeheimnisse enthalten. Im Fazit prognostiziert sie neue Rechtsunsicherheiten sowohl für Verbraucher als auch für Unternehmen. Es bedürfte wohl jahrelanger Gerichtsverfahren und einiger EuGH-Entscheidungen, bis klar sei, ob der Data Act die von der EU-Kommission gesteckten hohen Ziele erreichen könne.

Episode 88:

