Zurück zur Übersicht
14.05.2025 Fachbeitrag

Compliance-Dilemma: Data Act zwingt Unternehmen zum Drahtseilakt zwischen Datenherausgabe und Datenschutz. Hilft die politisch motivierte Handreichung des HmbBfDI?

Update Datenschutz Nr. 209

Ab dem 12. September 2025 sind die meisten Pflichten aus dem europäischen Data Act (VO (EU) 2023/2854) umzusetzen (wir berichteten über Ziele, Adressaten und Regelungen des Data Act in Datenschutz Update Nr. 200, Nr. 187, Nr. 158, Nr. 148). Das Regelungsziel, den freien Fluss von Daten zu erleichtern, wird mit einer Reihe an Pflichten und Anforderungen verfolgt, die sich teilweise mit dem Datenschutzrecht überschneiden und so für ein Spannungsfeld sorgen. Sowohl Dateninhaber als auch Nutzer oder Datenempfänger, die von dem Data Act profitieren wollen, müssen sich bereits jetzt mit den für sie geltenden Regelungen vertraut machen und entsprechende Compliance-Strukturen schaffen. 

Eine Hilfestellung beim Betreten dieses juristischen Neulands will die von dem Hamburgischen Beauftragten für Datenschutz und Informationssicherheit (HmbBfDI) Ende April veröffentlichte Handreichung namens „Der Data Act als Herausforderung für den Datenschutz“ bieten. Das Papier erläutert die Beziehung der beiden Gesetze und sensibilisiert für datenschutzrechtliche Fragestellungen bei der Anwendung des Data Acts. Dabei geht es dem HmbBfDI ersichtlich darum, aufzuzeigen, wie umfangreich die Überschneidungen zwischen Data Act und DSGVO sind. Diese Darstellung mündet zuletzt in eine Forderung an den Gesetzgeber, die Aufsicht zur DSGVO und zum Data Act nicht auseinanderfallen zu lassen, sowie in ein unterschwelliges Plädoyer, den Datenschutzaufsichtsbehörden die Aufsicht über den Data Act zu überlassen. Viele Aussagen in der Information des HmbBfDI müssen vor diesem Hintergrund betrachtet werden. Die wesentlichen Inhalte des Papiers stellen wir Ihnen, ergänzt um praxisbezogene Hinweise, vor. 

1. Personenbezug der Daten auch bei der Anwendung des Data Acts als Weichenstellung 

In der Handreichung werden zunächst die wesentlichen Regelungsbereiche des Data Acts (Datenzugangsansprüche, Notstandsregelungen, Cloud Switching und Internationaler Datenverkehr) skizziert. Nicht alle von ihnen gelten für personenbezogene Daten, sodass sich für diese eine nähere Auseinandersetzung mit der DSGVO erübrigt. Der HmbBfDI betont, dass bereits diese Einordnung deutlich mache, dass bei der Umsetzung des Data Acts Fachkenntnisse im Datenschutzrecht erforderlich sind. Die Einteilung von Daten in die Kategorien personenbezogene und nichtpersonenbezogene Daten entscheidet maßgeblich nicht nur darüber, welche Vorschriften des Data Acts Anwendung finden, sondern auch, welche zusätzlichen Anforderungen aus der DSGVO zu beachten sind. 

Dieses Spannungsfeld kommt bei den Regelungen über die Datenweitergabe in Kapitel II des Data Acts besonders zum Tragen. Konkret ist zum Beispiel die Bereitstellung von personenbezogenen Daten an den Nutzer (Art. 4 DA) oder an einen Dritten (Art. 5 DA) erstens nur zulässig, wenn hierfür eine Rechtsgrundlage existiert. Zweitens sind, wenn eine Rechtsgrundlage vorliegt, auch sonstige Datenschutzanforderungen der DSGVO zu beachten. Fehlt es hingegen an einer Rechtsgrundlage, treten die Zugangsansprüche aus dem Data Act im Einzelfall zugunsten des Datenschutzes zurück.

Der Hinweis des HmbBfDI darauf, dass insbesondere bei Mischdatensätzen künftig sorgfältiger als bisher zwischen nichtpersonenbezogenen und personenbezogenen Daten zu differenzieren sei, ist sehr praxisrelevant. Bislang bestand bei Datenschutzaufsichtsbehörden und Gerichten die Tendenz, einen Datensatz, der zumindest ein Identifizierungsmerkmal enthält, welches einer Person zugeordnet werden kann, insgesamt der DSGVO zu unterwerfen. Wenn also bislang ein technischer Datensatz Predictive-Maintenance-Daten enthielt, aber auch mit Logfiles verbunden war, aus denen sich ermitteln lässt, welche Person das entsprechende smarte Device zu welchem Zeitpunkt verwendet hatte, wurde der gesamte Datensatz häufig so behandelt, als sei er vollständig personenbezogen. Die Ansage des HmbBfDI, in „Mischdatensätzen“ nun zwischen personenbeziehbaren und nicht personenbeziehbaren Informationen unterscheiden zu wollen, ist daher in der Praxis sehr zu begrüßen. Denn wer den Personenbezug im Rahmen des Data Acts vorschnell bejaht und darauf basierend Ansprüche auf Datenweitergabe ablehnt, setzt sich der Gefahr von Sanktionen nach dem Data Act aus. Werden hingegen personenbezogene Daten vorschnell herausgegeben, um Pflichten aus dem Data Act zu erfüllen, greift das Sanktionsregime der DSGVO. Weil Mischdatensätze in der Praxis weit verbreitet sind, stellt es – aus Sicht der DSGVO und ihres Sanktionsregimes – eine erhebliche Erleichterung dar, dass diese nun teilweise nicht mehr der DSGVO unterfallen. Im Hinblick auf die Handhabung des Data Acts ergibt sich natürlich eine aufwendige Hausaufgabe: Jegliche von einem vernetzten Produkt und einem verbundenen Dienst generierten Daten müssen – am besten, bevor der erste Anspruch nach Data Act gestellt wird – sorgfältig in Daten mit und Daten ohne Personenbezug getrennt werden. Hierbei kann es erforderlich sein, die Unterscheidung auf Ebene einzelner Datenbanken und auf Ebene einzelner Datenfelder bzw. einzelner Informationen vorzunehmen. Dies wird in der Praxis im Einzelfall weiter zu vertiefen sein.

2. Erfordernis einer Rechtsgrundlage

Im Anschluss an die erste Frage, ob personenbezogene Daten vorliegen, stellt sich bei Bejahung die Frage nach dem Vorliegen einer Rechtsgrundlage für die Weitergabe dieser Daten. Grund hierfür ist das eingangs erläuterte Verhältnis von Data Act und DSGVO: die Gesetze ergänzen sich und die Anwendung des Data Acts darf nicht zu einer Absenkung des Datenschutzes führen. 

Die Pflichten aus Art. 4 Abs. 1 bzw. Art. 5 Abs. 1 Data Act stellen keine „rechtliche Verpflichtung“ im Sinne des Art. 6 Abs. 1 UAbs. 1 lit. c) DSGVO dar und können somit nicht selbst als Rechtsgrundlage herangezogen werden. Der HmbBfDI differenziert in seinen Hinweisen hierzu zwischen folgenden Konstellationen, die sich bei der Anwendung des Data Acts stellen können: 

a) Fallgruppe 1: Betroffene Person und Anspruchsteller sind identisch

Anspruchsberechtigter der Art. 4 und 5 Data Act ist der Nutzer. Verlangt ein Nutzer, der zugleich ausschließlich betroffene Person ist (häufig B2C-Geschäfte), die Herausgabe seiner Daten an sich selbst oder deren Bereitstellung an einen Dritten, dürfte eine Rechtsgrundlage nach Ansicht des HmbBfDI regelmäßig durch eine datenschutzrechtlich erforderliche Einwilligung herbeigeführt werden können. Womöglich könne sogar im Antrag selbst eine konkludente Einwilligung zu sehen sein. 

Hier ist jedoch Vorsicht geboten: es sind erstens die strengen Anforderungen an eine Einwilligung, wie z.B. das Kopplungsverbot, zu bedenken. Weiterhin scheidet eine konkludente Einwilligung dann aus, wenn es sich um sensible personenbezogene Daten i. S. d. Art. 9 Abs. 1 DSGVO, wie etwa Gesundheitsdaten, handelt. In diesem Fall ist immer mindestens eine ausdrückliche Einwilligung erforderlich. Die DSGVO stellt es den Mitgliedstaaten sogar frei, eine Einwilligung in die Verarbeitung sensibler Daten gänzlich auszuschließen. Dies ist von Dateninhabern, die in mehreren Ländern tätig sind, besonders zu prüfen.

Ob eine wirksame Einwilligung vorliegt, ist also im Einzelfall genau zu untersuchen. Daneben dürfte eine Rechtsgrundlage in vielen Fällen auch durch Abschluss eines entsprechenden Vertrags mit dem Nutzer über Art. 6 Abs. 1 lit. b) DSGVO zu finden sein. 

Der HmbBfDI zeigt an dieser Stelle auch die Parallelen zu den Ansprüchen aus Art. 15 und Art. 20 DSGVO, die der betroffenen Person ein Recht auf Auskunft sowie Portabilität ihrer personenbezogenen Daten gewähren, auf, welche Unternehmen bereits bekannt sein dürften. Die Ansprüche aus dem Data Act gehen insofern weiter, als sie neben den personenbezogenen Daten auch die nichtpersonenbezogenen Daten erfassen und nicht nur von der betroffenen Person, sondern auch vom Nutzer, der nicht selbst betroffen ist, geltend gemacht werden können. 

b) Fallgruppe 2: Betroffene Person und Anspruchsteller fallen auseinander 

Schwieriger wird es, wenn der Nutzer die Herausgabe von personenbezogenen Daten verlangt, die (auch) Dritte betreffen. Diese Konstellation findet sich bei der Verwendung eines vernetzten Produkts durch Personenmehrheiten (z. B. Familien, Wohngemeinschaften) und im B2B-Bereich (z. B. Arbeitnehmer, Car-Sharing Nutzer). Der HmbBfDI empfiehlt hierzu lediglich, ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f) DSGVO, einen Vertrag nach Art. 6 Abs. 1 lit. b) DSGVO sowie ebenfalls eine Einwilligung als Rechtsgrundlage zu prüfen. Weil jede dieser möglichen Rechtsgrundlagen in der praktischen Umsetzung auf Schwierigkeiten stößt, bedarf die Handreichung ergänzender Hinweise. 

Eine Verarbeitung aufgrund eines berechtigten Interesses bietet sich umso mehr an, je weniger bedeutsam die gegenständlichen personenbezogenen Daten sind und je vorteilhafter der beabsichtigte Verwendungszweck des Nutzers oder Datenempfängers für die betroffene Person ist. In der Praxis sind die Verwendungszwecke dem Dateninhaber aber häufig gar nicht bekannt, sodass dieser zentrale Aspekt im konkreten Fall häufig nicht in die Interessenabwägung einfließen kann. Daher sollten Unternehmen sich hier an den allgemeinen Kriterien für die datenschutzrechtliche Interessenabwägung orientieren. Welche besonderen Kriterien für die spezifische Abwägung im Kontext der Zugangsansprüche aus dem Data Act zukünftig von Aufsichtsbehörden und Rechtsprechung im weiteren Verlauf zu diesem Thema entwickelt werden, bleibt abzuwarten. 

Die Datenweitergabe aufgrund eines Vertrags nach Art. 6 Abs. 1 lit. b) DSGVO dürfte insbesondere dann in Betracht kommen, wenn ein solcher Vertrag zwischen dem Nutzer und dem betroffenen Dritten besteht. Der Dateninhaber muss dann genau prüfen, ob die Weitergabe tatsächlich zur Erfüllung dieses Vertrags „erforderlich“ ist. Diese Prüfung kann im Einzelfall aufwändig oder auch mangels Vorliegens der erforderlichen Informationen unmöglich sein.

Zur Einwilligung gilt auch in dieser Konstellation das bereits oben Ausgeführte: die Wirksamkeit der Einwilligung ist genau zu prüfen, insbesondere mit Blick auf die Voraussetzungen der Freiwilligkeit und das Kopplungsverbot. Für den Dateninhaber, der selbst nicht in Kontakt mit der betroffenen Person steht, ist diese Prüfung nur schwer durchführbar.

Möchte sich der Dateninhaber dennoch auf einen Vertrag oder eine Einwilligung als Rechtsgrundlage stützen, könnte er sich bei dem Nutzer vertraglich dahingehend absichern, dass die datenschutzrechtlichen Voraussetzungen für die Datenübertragung tatsächlich vorliegen. Eine solche zivilrechtliche Vereinbarung wirkt sich zwar nicht auf seine eigenen datenschutzrechtlichen Verpflichtungen aus, sie kann ihm aber Regressforderungen gegenüber dem Nutzer, der sich auf die Einwilligung oder den Vertrag mit der betroffenen Person beruft, ermöglichen. Für den Nutzer entsteht dadurch ebenfalls ein Anreiz, auf das Bestehen einer wirksamen Rechtsgrundlage hinzuwirken.

3. Parallelen bei Informationspflichten 

Neben dem Erfordernis einer Rechtsgrundlage müssen bei der Weitergabe personenbezogener Daten nach dem Data Act auch die übrigen Voraussetzungen der DSGVO beachtet werden. 

Darunter fallen insbesondere die Informationspflichten aus Art. 13 DSGVO. Die betroffene Person muss über eine Reihe von Aspekten informiert werden, wie zum Beispiel Identität und Kontaktdaten des Verantwortlichen, Zwecke und Rechtsgrundlagen der Verarbeitung oder die Dauer der Speicherung. Der HmbBfDI weist zurecht darauf hin, dass die Informationspflichten nach dem Data Act (Art. 3 Abs. 2, 3 DA) sich mit denen aus der DSGVO teilweise, aber nicht vollständig decken. So muss nach dem Data Act zum Beispiel auch über Art, Format und Umfang der zu generierenden Daten oder die Nutzungsrechte des Dateninhabers informiert werden. Auch der Informationszeitpunkt unterscheidet sich: während die DSGVO die Information zum Zeitpunkt der Datenerhebung verlangt, müssen die Informationen nach dem Data Act noch vor Erwerb oder Nutzung des vernetzten Produkts oder verbundenen Dienstes, also vor Vertragsschluss, bereitgestellt werden. Gerade bei der Verarbeitung gemischter Datensätze ist es daher erforderlich, beide Pflichtenkataloge sorgfältig zu analysieren und die „Beipackzettel“ vollständig zu gestalten.

4. Unklarheit über die zu erwartende Aufsichtsstruktur

Zuletzt geht der HmbBfDI in der Handreichung auf die behördliche Aufsichtsstruktur ein. Die damit verbundene Unklarheit wird hier nur kurz skizziert, da sie auf die derzeitige Implementierungsphase in Unternehmen geringere Auswirkungen hat. 

Der Data Act sieht eine Aufteilung der Zuständigkeit vor: die Mitgliedstaaten sollen eine Hauptaufsichtsbehörde für den Data Act benennen. Sind hingegen personenbezogene Daten betroffen, sollen davon abweichend die für die Überwachung der DSGVO zuständigen Behörden auch für den Data Act zuständig sein. Positive Konsequenz dieser Aufteilung ist die gebündelte Datenschutzexpertise bei den Datenschutzbehörden. Zu befürchten ist jedoch, dass es, wie der HmbBfDI darstellt, zu Abgrenzungsfragen bei der Zuständigkeit kommen wird. In Deutschland kommt erschwerend hinzu, dass der am 5. Februar 2025 vorgestellte Referentenentwurf für ein Data-Act-Durchführungsgesetz die BfDI als alleinige Aufsichtsbehörde für die Fälle mit personenbezogenen Daten vorsieht. Dieser Vorschlag der letzten Bundesregierung ist auf viel Kritik gestoßen. Der HmbBfDI äußert deshalb berechtigte Zweifel, ob die neue Bundesregierung erstens bis zum 12. September 2025 überhaupt ein Durchführungsgesetz erlassen und zweitens, ob dieses inhaltlich dem bisherigen Referentenentwurf entsprechen wird.

5. Orientierungshilfe mit Vorbehalt – weitere Klärungen zu Data Act und DSGVO erforderlich

Die Handreichung des HmbBfDI klärt über das Verhältnis von Data Act und DSGVO auf und schafft ein Bewusstsein für rechtliche Fragestellungen, die sich im Spannungsfeld beider Gesetze stellen. Besonders die identifizierten Umsetzungstätigkeiten mit Blick auf den Datenschutz können Unternehmen als Anhaltspunkt für die zeitnahe Errichtung von Compliance-Strukturen dienen. 

Jedoch schlagen sich die fortbestehenden Komplikationen mit dem Konzept des Personenbezugs nun neben der DSGVO auch in der Anwendung des Data Acts nieder und erschweren Unternehmen die Identifizierung der für sie geltenden Pflichten. Jenseits dieser Problematik müssen Unternehmen bei der Bereitstellung personenbezogener Daten besonders genau prüfen, ob eine Rechtsgrundlage vorliegt. Welche Rechtsgrundlage am ehesten in Betracht kommt, hängt stark von der Art der Geschäftsbeziehung ab. 

Insgesamt ist aufgrund der bestehenden Rechtsunsicherheiten und dem Spagat, den Unternehmen zwischen Sanktionen aus dem Data Act und der DSGVO vollführen müssen, besondere Sorgfalt bei der Implementierung geboten.

Als PDF herunterladen
Als PDF herunterladen

Ansprechpartner

Dr. Lutz Martin Keppeler
Köln
Markus Lennartz
Köln, Frankfurt
Jutta Schumann
Köln

Ansprechpartner

Dr. Lutz Martin Keppeler
Köln
Markus Lennartz
Köln, Frankfurt
Jutta Schumann
Köln

Weitere Artikel

12.06.2025
EUR 45 Mio. DSGVO-Bußgeld gegen Vodafone – Was sind die Schlussfolgerungen für EU-Unternehmen?
11.06.2025
Mindestvertragslaufzeiten von Endkundenverträgen – Entscheidungen EuGH und des OLG Hamburg mit Konsequenzen für die Praxis
03.06.2025
Neues rund um die Ermittlung des Verfassers negativer Bewertungen auf Bewertungsplattformen
27.05.2025
Gewährleistung von Sicherheit und Compliance in der Raumfahrtindustrie – Wichtige Erkenntnisse und To-Do‘s
27.05.2025
Meta sperrt Facebook Account eines Vereins – OLG Düsseldorf sieht darin einen kartellrechtlichen Verstoß
23.05.2025
Neue Pläne der EU-Kommission: Der Digital Fairness Act
22.05.2025
Neue Technische Richtlinie BSI TR-03184-2 – Cybersicherheit für das Bodensegment von Weltraumsystemen
21.05.2025
Untersagung von Werbung mit den Begriffen „umweltfreundlich“ und „klimafreundlich“: Rechtmäßigkeit einer lauterkeitsrechtlichen Unterlassungsanordnung auf Ersuchen einer Behörde aus einem EU-Mitgliedstaat
20.05.2025
Ausschluss eines Betriebsratsmitglieds wegen Weiterleitung personenbezogener Beschäftigtendaten an privates E-Mail-Postfach
08.05.2025
Geistiges Eigentum im Weltraum – Eine Bestandsaufnahme aus deutscher Sicht
07.05.2025
Künstliche Intelligenz: Diese Transparenzpflichten sind zu beachten
05.05.2025
Neue Entwicklungen im EU-Digitalrecht

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.