DA+

Kurzbeitrag : Vernetzte Produkte und Datenverarbeitungsdienste nach dem Data Act: Praxisbeispiele des Daten- austausches zwischen Nutzern und Dateninhabern im Rahmen des Data Acts : aus der RDV 4/2024, Seite 224 bis 227

Der Data Act ist Teil des rechtlichen Rahmens der EU für die Datenstrategie. Er sorgt für eine gerechte Verteilung des Wertes von Daten auf die verschiedenen Beteiligten der digitalen Wirtschaft innerhalb der EU. Die Datenakte sollen den Zugang zu und die Nutzung von Daten fördern.

Dieser Beitrag gibt einen Überblick darüber, wie der Data Act den Zugang zu und die Weitergabe von personenbezogenen und nicht personenbezogenen Daten, die durch vernetzte Produkte und damit verbundene Dienste erzeugt werden, in der Praxis erleichtern kann. Zudem enthält der Beitrag Beispiele für die Nutzung von IoT-Geräten und Datenverarbeitungsdiensten. Der Data Act umfasst vernetzte Produkte, die Daten über ihre Nutzung oder ihre Umgebung erhalten, erzeugen oder sammeln und diese Daten über elektronische Kommunikation, physische Verbindung oder einen geräteinternen Zugriff übermitteln können (wie IoT-Geräte, z.B. vernetzte Heimgeräte, Smartwatches, medizinische Geräte oder Fahrzeuge).[1]

Der Data Act ermöglicht den Nutzern von vernetzten Geräten und damit verbundenen Diensten einen beispiellosen Zugang zu den von ihnen erzeugten Daten, unabhängig davon, ob es sich bei diesen Nutzern um natürliche oder juristische Personen handelt.

Dieses Gesetz fördert die Fairness und den Wettbewerb und gibt den Nutzern gleichzeitig eine angemessene Kontrolle über die von ihnen erzeugten Daten.[2] Dabei ist erwähnenswert, dass es sich bei den generierten Daten nicht nur um personenbezogene Daten gem. Art. 4 Nr. 1 DS-GVO, sondern auch um nicht personenbezogene Daten, die durch die Nutzung eines IoT generiert werden, handelt.[3] Der Data Act schafft nicht nur rechtliche Klarheit in Bezug auf den Zugang und die Verwendung von Daten, sondern ergänzt auch den Data Governance Act (DGA), der das erste Ergebnis der europäischen Datenstrategie war, die darauf abzielt, das Vertrauen in freiwillige Datenaustauschmechanismen zu stärken.[4]

Das Recht des Nutzers auf den Zugang zu Daten (Art. 4 Data Act), die durch ein vernetztes Produkt und einen Dienst gemäß dem Data Act generiert werden, ist eine Erweiterung des Auskunftsrechts der betroffenen Person gem. Art. 15 DS-GVO. Das heißt, Art. 4 Data Act behält nicht nur die Rechte der betroffenen Person auf Zugang zu den Daten gemäß der DS-GVO bei, sondern geht darüber hinaus, indem die Zugänglichkeit und der Austausch mit Dritten erweitert wird.

I. Wer ist ein Nutzer?

Gemäß Kapitel I des Data Acts können Nutzer natürliche oder juristische Personen sein. In diesem Sinne kann ein Nutzer gleichzeitig auch ein Verantwortlicher gem. Art.  4 Nr.  7 DS-GVO für die Daten (ob der Nutzer auch Verantwortlicher im Sinne der DS-GVO ist, hängt stets vom Einzelfall ab). Art. 2 Nr.  12 Data Act bezeichnet als Nutzer „eine natürliche oder juristische Person, die ein vernetztes Produkt besitzt oder der vertraglich zeitweilige Rechte für die Nutzung des vernetzten Produkts übertragen wurden oder die verbundenen Dienste in Anspruch nimmt.“

II. Wer ist ein Dateninhaber?

Der Dateninhaber ist häufig das Unternehmen, welches das vernetzte Gerät herstellt oder eine damit verbundene Dienstleistung anbietet. Der Dateninhaber kann auch eine natürliche oder juristische Person sein, die das Recht oder die Pflicht hat,[5] Daten, einschließlich Produktdaten, zu nutzen und zur Verfügung zu stellen[6] oder Daten, die sie bei der Erbringung einer damit verbundenen Dienstleistung abgerufen oder erzeugt hat.[7]Es ist jedoch anzumerken, dass nach dem Data Act Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DS-GVO nicht als Dateninhaber gem. ErwG 22, S. 4 Data Act[8] angesehen werden. ErwG 22, S. 4 Data Act richtet sich an Auftragsverarbeiter im klassischen Sinne von Art.  4 Nr.  8 DS-GVO und nicht mit Art. 7 Abs. 1 Data Act, der sich auf Unterauftragnehmer im Sinne der Herstellung vernetzter Produkte und der Erbringung damit verbundener Dienstleistungen bezieht. Dennoch kann der Dateninhaber Auftragsverarbeiter anweisen, Daten direkt dem Nutzer oder einem Dritten zur Verfügung zu stellen, denn schließlich ist der Dateninhaber in der Regel Verantwortlicher.

III. Rechtsgrundlage

Der Data Act lässt die DS-GVO unberührt. Das bedeutet, dass die DS-GVO Vorrang vor dem Data Act hat, vgl. Art. 1 Abs. 5, S. 1 i.V.m. ErwG 7 Data Act. Daher gelten die Grundsätze und Rechte der betroffenen Personen gemäß Kapitel (II.) und (III.) der DS-GVO, wenn es um die Verarbeitung personenbezogener Daten im Rahmen des Data Acts geht.

Das heißt, gem. Artt. 6 und 9 DS-GVO können Dateninhaber und Datenempfänger personenbezogene Daten unter dem Dach des Data Acts verarbeiten. Wenn die betroffene Person auch der Nutzer ist, kann der Dateninhaber oder der Empfänger personenbezogene Daten verarbeiten, indem er sich auf den Rechtsgrund der Erfüllung einer rechtlichen Verpflichtung stützt (siehe Art. 6 Abs. 1 lit. c)) DS-GVO, Art. 4 Data Act). Allerdings können sich Schwierigkeiten ergeben, wenn der Nutzer nicht die betroffene Person ist, deren personenbezogene Daten angefordert werden. In einem solchen Fall kann die Verarbeitung nur aufgrund der in Art. 6 Abs. 1 DS-GVO und gegebenenfalls der sich aus Art. 9 Abs. 2 DS-GVO aufgeführten Ausnahmetatbestände ergeben. Als Beispiel für einen solchen Fall kann zur Veranschaulichung ein Einzelunternehmer oder ein Unternehmen, das ein verbundenes Produkt wie ein Flottenfahrzeug kauft, angeführt werden. In einem solchen Szenario sind sowohl das Unternehmen als auch seine Angestellten getrennte Nutzer, und die Verarbeitung der von den Angestellten generierten Daten muss daher auf der Grundlage einer Einwilligung gem. Art. 6 Abs. 1 lit. a) DS-GVO und, falls erforderlich, auf einer ausdrücklichen Einwilligung gem. Art.  9 Abs.  2 DS-GVO bzw. auf der Erfüllung eines Vertrages nach Art. 6 Abs. 1 lit. b) DS-GVO ergehen.

Darüber hinaus muss sich der Datenempfänger auf eine gültige Rechtsgrundlage für die rechtmäßige Verarbeitung der vom Dateninhaber erhaltenen personenbezogenen Daten gem. Artt. 6 und 9 DS-GVO stützen. Für gewöhnliche personenbezogene Daten sind die häufigsten Rechtsgrundlagen die Einwilligung gem. Art. 6 Abs. 1 lit. a) DS-GVO, die Erfüllung eines Vertrages gem. Art. 6 Abs. 1 lit. b) DS-GVO oder das berechtigte Interesse des Datenempfängers (oder eines Dritten) gem. Art. 6 Abs. 1 lit. f) DS-GVO. Trotz des Verbots nach Art. 9 Abs. 1 DS-GVO kann sich ein Dritter (Empfänger) nur auf die ausdrückliche Einwilligung des Nutzers (Betroffenen) oder auf die abschließenden Ausnahmetatbestände des Art. 9 Abs. 2 berufen, sofern es sich bei den verarbeiteten Daten um besondere Kategorien personenbezogener Daten handelt.

IV. Internet of Things

Nutzer von vernetzten Produkten und die damit verbundenen Dienste können auf die von ihren Geräten erzeugten Daten zugreifen und sie mit Dritten ihrer Wahl teilen (mit Ausnahme von Gatekeepern, wie sie im Gesetz über digitale Märkte vorgesehen sind). Es genügt zu sagen, dass der Data Act das Recht auf Zugang und Datenübertragbarkeit gemäß der DS-GVO ergänzen soll. Die Abbildungen 1 und 2 veranschaulichen die Beziehung zwischen dem Nutzer und dem Dateninhaber. Die erste Abbildung stellt ein einzelnes Cluster (einzelner Dateninhaber) und die zweite Abbildung ein Mehrfachcluster (mehr als ein Dateninhaber) dar.

Abbildung 1: Einzelner Dateninhaber

An dieser Stelle sei darauf hingewiesen, dass es sich bei einem Nutzer i.S.d. Art. 2 Nr. 12 Data Act um eine natürliche Person, eine juristische Person oder um sowohl eine natürliche als auch juristische Person handeln kann.

In diesem Szenario wird der Nutzer mit einem einzigen Dateninhaber unter Vertrag genommen, der sowohl das Smartphone als auch das mit dem Gerät verbundene Wearable (z.B. eine Smartwatch) herstellt. In diesem Zusammenhang ist Folgendes erwähnenswert:

▪ Persönliche und nicht persönliche Daten fließen von der App zum Wearable zum Smartphone und andersherum.

▪ Ein einziger Dateninhaber hat Zugriff auf Daten, die von einem Smartphone, einer Smartwatch und einer Fitness-App erzeugt werden. Zum Beispiel bietet Apple Inc. alle drei Elemente in Abbildung 1 an (iPhone, Apple Watch und Apple Health). Dies ist ein klassisches Beispiel für einen Dateninhaber, der die Kontrolle über alle Daten hat, die vom Nutzer aller drei vernetzten Produkte und damit verbundenen Dienste von Apple Inc. erzeugt werden.

▪ Die personenbezogenen Daten können besondere Kategorien personenbezogener Daten enthalten und dürfen daher vom Dateninhaber und dem Empfänger (Dritten) der weitergegebenen Daten nur unter den Ausnahmeregelungen von Art. 9 Abs. 2 DS-GVO (weiter-)verarbeitet werden.

▪ Denkbar ist, dass, wenn es in jedem Fall mehr als einen Nutzer im Sinne von Art. 4 Nr. 12 Data Act gibt, ein Nutzer (juristische Person), der seinen Mitarbeitern die Nutzung seiner vernetzten Endgeräte gestattet, nur auf nicht personenbezogene Daten i.S.d. Data Acts zugreift, es sei denn, die von den Mitarbeitern erzeugten personenbezogenen Daten können im Rahmen der Rechtsgrundlage des § 26 BDSG rechtmäßig verarbeitet werden.

Eine andere Konstellation wäre die, dass mehr als ein Nutzer oder mehrere Dateninhaber am Datenaustausch beteiligt sind.

Abbildung 2: Mehrere Dateninhaber

In dieser Fallgestaltung schließt der Nutzer mit drei verschiedenen Dateninhabern einen Vertrag.

In diesem Szenario wird davon ausgegangen, dass das Wearable mit dem Smartphone kompatibel ist. Eine FitnessApp wie z.B. Strava ist auf dem Smartphone installiert. Es findet eine Kommunikation und ein Datenaustausch zwischen der App, dem Smartphone und dem Wearable statt. Die Zugriffs- und Freigabeanträge des Nutzers müssten dann an alle drei Parteien getrennt gestellt werden.

Möchte ein Nutzer bspw. von Strava zu einer anderen Fitness-App wie Adidas Running, iPhone Health oder Samsung Health wechseln, so kann der Nutzer oder ein in seinem Namen handelnder Bevollmächtigter (Art. 5 Abs. 1 Data Act) Strava bitten, sein Profil mit einem benannten Dritten (Empfänger) zu teilen.

Es kann jedoch nicht genug betont werden, dass der Data Act auch die Bedingungen für ein Recht auf Zugang zu Produkt- und Servicedaten festlegt, die von verbundenen Produkten und damit verbundenen Dienstleistungen erzeugt werden. In diesem Zusammenhang gewährleistet der Data Act Schutzmaßnahmen gegen eine unrechtmäßige Nutzung durch einen Nutzer oder Empfänger.

Gem. Art. 5 Abs. 1 Data Act erhalten Dritte, die keine Nutzer sind, kein unmittelbares Recht auf Zugang zu den Daten, da dies nur auf Antrag eines Nutzers erfolgen kann. Der Data Act verbietet die Weitergabe von Produktdaten[9] an Dritte auch dann nicht, wenn es sich bei dem Dritten um einen Konkurrenten handelt. So kann ein Nutzer bspw. von Strava verlangen, dass personenbezogene und nicht personenbezogene Daten an Adidas Running weitergegeben werden, auch wenn die beiden Unternehmen Konkurrenten sind.

Ein undurchsichtiges Szenario mit mehreren Nutzern und Dateninhabern tritt bei der Nutzung von vernetzten Produkten wie zum Beispiel bei einem vernetzten Staubsauger oder einem vernetzten Kühlschrank auf. Dabei stellt sich die Frage, was in einem solchen Szenario die geeignete Rechtsgrundlage für die Verarbeitung von Daten von betroffenen Personen, die keine Nutzer sind, sein kann. Eine plausible Lösung wäre in diesem Fall, dass der Dateninhaber in der Lage ist, personenbezogene Daten eines Familienmitglieds auf der Grundlage der Ausnahmeregelung für Haushalte gem. Art. 2 Abs 2. lit. c) DS-GVO zu verarbeiten. Es sei darauf hingewiesen, dass der Data Act keine Angaben zu Familienmitgliedern eines Nutzers enthält. Es ist jedoch logisch zu folgern, dass die geeignete Rechtsgrundlage Art. 2 Abs. 2 DS-GVO ist, da der Data Act bei der Verarbeitung personenbezogener Daten auf die DS-GVO verweist.

Jedoch ist anzumerken, dass der Data Act für künftige vernetzte Produkte und Dienste einen Datenzugriff durch Design und Voreinstellung vorschreibt, um die Beschränkungen der Zugriffsrechte der Nutzer zu minimieren. Dies ist in gewisser Weise vergleichbar mit den Verpflichtungen gem. Art. 12 Abs. 3 DS-GVO, wonach die für die Verarbeitung Verantwortlichen die Ausübung der Rechte gem. Artt. 15 bis 22 DS-GVO ermöglichen müssen.

V. Switching zwischen Datenverarbeitungsdiensten

Kapitel VI des Data Acts ist den Datenverarbeitungsdiensten gewidmet. Die Bestimmungen in Kapitel VI, insbesondere Art. 23 Data Act, erleichtern den Wechsel von Daten und Anwendungen von einem Diensteanbieter zu einem anderen.[10] Ziel ist es, vertragliche, technische und andere vorhersehbare Hindernisse abzubauen, mit denen die Kunden derzeit bei einem Wechsel konfrontiert sind.

Die nahtlose Migration von Daten und Anwendungen von einem Dienstanbieter (Quellanbieter) zum anderen (Zielanbieter) wird für einen wettbewerbsfähigen Markt in der EU sorgen, der vor allem für kleine Unternehmen mit begrenzten Ressourcen von Vorteil sein wird. Denn derzeit sind die Kunden vor allem mit hohen Wechselkosten konfrontiert.

So kann bspw. ein Kunde von Amazon Web Services (AWS) diese auffordern, einem neuen Diensteanbieter wie Strato, Daten zur Verfügung zu stellen. Nach den Bestimmungen des Data Acts sollte eine solche Anfrage keine unangemessene finanzielle oder kommerzielle Belastung für den Kunden darstellen. In diesem Sinne würde AWS nicht nur die Daten zur Verfügung stellen, sondern muss auch sicherstellen, dass die funktionale Gleichwertigkeit gegeben ist, wenn die Daten beim neuen Zielanbieter, in diesem Fall Strato, bereitgestellt werden.

Schließlich werden in Übereinstimmung mit Art. 33 Data Act die wesentlichen Anforderungen an die Interoperabilität festgelegt, um sicherzustellen, dass Daten nahtlos zwischen Sektoren und Mitgliedstaaten fließen können, was durch gemeinsame europäische Datenräume erleichtert wird.

VI. Fazit

Der Data Act fordert die Beteiligung aller Stakeholder der digitalen Wirtschaft in der EU, auch von Privatpersonen. Darüber hinaus erweitert das Gesetz die Rechte der betroffenen Personen, indem sie ihnen die Möglichkeit gibt, die von ihnen erzeugten Daten mit Dritten zu teilen.

* Henry Simwinga, LL.M. (Göttingen) LL.M.(Liverpool) ist Referent für Datenschutz und Datensicherheit und Beauftragter für EU-Beziehungen/Internationale Angelegenheiten bei der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. in Bonn.

[1] Art. 2 Nr. 5 der EU-Verordnung 2023/2854 (Data Act) vgl. ErwG 14 derselben Verordnung.

[2] Europäische Kommission, Data Act Explained https://digital-strategy.ec.europa.eu/en/node/12633/printable/pdf (Zugriff am 29.05.2024).

[3] Art. 4 Data Act.

[4] Ibid Nr. 2.

[5] Dabei kann die Nutzungspflicht auf nicht personenbezogene Daten beschränkt werden, es sei denn, es wird vertraglich mit dem Nutzer vereinbart oder im Sinne einer Einwilligung, Art. 6 Abs. 1 lit. a) bzw. ausdrückliche Einwilligung nach Art. 9 Abs. 2 DS-GVO.

[6] Sofern vertraglich mit dem Nutzer vereinbart.

[7] Art. 2 Nr. 13 Data Act.

[8] ErwG 22, S. 4 „Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 der Verordnung (EU) 2016/679 gelten nicht als Dateninhaber. Sie können jedoch ausdrücklich vom Verantwortlichen im Sinne von Art. 4 Nr. 7 der Verordnung (EU) 2016/679 beauftragt werden, Daten bereitzustellen“.

[9] Es sei denn, die Wahrung von Geschäftsgeheimnissen im Sinne von Art.  4 Abs. 6 Data Act oder durch Rechte am geistigen Eigentum verhindert.

[10] Siehe ErwG 78 Data Act