Data Act und DSGVO: Datenzugang braucht Datenschutz

von Nadja-Maria

Der Data Act bringt Bewegung in den Umgang mit Daten. Nutzerinnen und Nutzer vernetzter Produkte und verbundener Dienste sollen künftig leichter auf die von ihnen erzeugten Daten zugreifen und diese unter bestimmten Voraussetzungen auch Dritten bereitstellen können.

Für Unternehmen entstehen dadurch neue Möglichkeiten: datenbasierte Services, bessere Wartungsmodelle, innovative Kooperationen und transparente Kundenbeziehungen können an Bedeutung gewinnen.

Nachdem wir bereits auf die Chancen und Pflichten des Data Actes für Unternehmen eingegangen sind, lohnt sich nun ein genauerer Blick auf eine besonders wichtige Schnittstelle: das Verhältnis zur Datenschutz-Grundverordnung. Denn überall dort, wo personenbezogene Daten betroffen sind, bleibt die DSGVO weiterhin maßgeblich. Der Data Act schafft also neue Zugänge zu Daten, hebt aber den Datenschutz nicht auf. Richtig verstanden lassen sich beide Regelwerke jedoch gut zusammendenken.

Data Act und DSGVO verfolgen unterschiedliche Ziele

Der Data Act und die DSGVO haben unterschiedliche Schwerpunkte. Die DSGVO schützt personenbezogene Daten und die Rechte betroffener Personen. Der Data Act soll Daten besser nutzbar machen und einen faireren Zugang zu Daten im europäischen Binnenmarkt ermöglichen. Beide Regelwerke schließen sich daher nicht aus. Vielmehr müssen sie in der praktischen Umsetzung gemeinsam berücksichtigt werden.
Das ist vor allem deshalb wichtig, weil der Data Act sowohl personenbezogene als auch nicht personenbezogene Daten betreffen kann. In der Praxis lassen sich diese Kategorien nicht immer auf den ersten Blick unterscheiden. Technische Daten, Geräteinformationen oder Nutzungsdaten wirken zunächst häufig rein sachbezogen. Werden sie aber mit weiteren Informationen verknüpft, können sie Rückschlüsse auf einzelne Personen zulassen.
Ein Beispiel sind Daten aus vernetzten Fahrzeugen oder Maschinen. Sie können technische Informationen über Nutzung, Zustand oder Wartungsbedarf enthalten. Gleichzeitig können sie aber auch Aussagen über Fahrverhalten, Arbeitszeiten, Standorte oder Tätigkeiten einzelner Beschäftigter ermöglichen. In solchen Fällen ist es sinnvoll, den Datenschutz frühzeitig mitzudenken und die Datenflüsse sauber zu prüfen.

Personenbezug sorgfältig einordnen

Für Unternehmen empfiehlt es sich, den möglichen Personenbezug von Daten realistisch zu bewerten. Nach der DSGVO genügt bereits eine indirekte Identifizierbarkeit. Auch Produkt- oder Maschinendaten können daher personenbezogen sein, wenn sie einer Kundin, einem Nutzer, einem Fahrer oder einem Beschäftigten zugeordnet werden können.
Hilfreich ist deshalb eine strukturierte Datenklassifikation. Unternehmen sollten wissen, welche Daten durch ihre Produkte oder Dienste entstehen, welche davon personenbezogen sind, ob auch Dritte betroffen sein können und welche Anforderungen bei einer Bereitstellung zu beachten sind. Diese Vorarbeit schafft Rechtssicherheit und erleichtert zugleich die praktische Umsetzung des Data Act.
Besonders relevant sind gemischte Datensätze. Werden personenbezogene und nicht personenbezogene Daten gemeinsam verarbeitet, sollte geprüft werden, ob eine Trennung möglich ist. Ist dies nicht der Fall, muss der Verarbeitungsvorgang datenschutzrechtlich bewertet werden. Eine pauschale Einordnung als „reine Maschinendaten“ greift häufig zu kurz. Eine sorgfältige Prüfung schützt hier vor späteren Unsicherheiten.

Rechtsgrundlage, Zweckbindung und Transparenz bleiben wichtig

Auch im Anwendungsbereich des Data Act benötigt die Verarbeitung personenbezogener Daten eine Rechtsgrundlage. Soweit der Data Act eine gesetzliche Bereitstellungspflicht begründet, kann dies datenschutzrechtlich eine Rolle spielen. Unternehmen sollten jedoch genau bestimmen, welche Daten tatsächlich aufgrund dieser Pflicht bereitgestellt werden dürfen oder müssen. Für weitergehende Verarbeitungen kann eine zusätzliche Rechtsgrundlage erforderlich sein.
Daneben bleibt der Grundsatz der Zweckbindung bedeutsam. Daten, die bei der Nutzung eines Produkts entstehen, dürfen nicht automatisch für beliebige weitere Zwecke verwendet werden. Sinnvoll ist daher eine klare Trennung zwischen Datenzugang, eigener Datennutzung und Datenweitergabe an Dritte. Diese Differenzierung hilft, die Anforderungen beider Regelwerke transparent und praxistauglich umzusetzen.
Auch die Informationspflichten sollten nicht unterschätzt werden. Betroffene Personen müssen nachvollziehen können, welche Daten entstehen, zu welchen Zwecken sie verarbeitet werden, wer Zugriff erhält und unter welchen Voraussetzungen eine Weitergabe erfolgt. Datenschutzhinweise, Verträge und interne Dokumentationen sollten deshalb an die neuen Datenflüsse angepasst werden. Das stärkt nicht nur die Compliance, sondern auch das Vertrauen von Kunden, Nutzern und Geschäftspartnern.

Technische Umsetzung als Erfolgsfaktor

Der Data Act ist nicht nur eine rechtliche, sondern auch eine technische und organisatorische Aufgabe. Unternehmen müssen Datenzugänge ermöglichen und zugleich sicherstellen, dass keine unberechtigten Offenlegungen erfolgen. Aus Datenschutzsicht gewinnt damit Datenschutz durch Technikgestaltung nach Art. 25 DSGVO weiter an Bedeutung.
Praktisch bedeutet dies: Zugriffs- und Berechtigungskonzepte, sichere Schnittstellen, Authentifizierungsverfahren, Protokollierung und Verschlüsselung sollten von Beginn an mitgedacht werden. Außerdem sollte geprüft werden, ob Daten vor einer Bereitstellung gefiltert, aggregiert oder anonymisiert werden können. So lässt sich der Datenzugang ermöglichen, ohne unnötige Datenschutzrisiken zu schaffen.
Wichtig ist auch die Rollenklärung bei beteiligten Dritten. Diese Einordnung ist Grundlage für passende Informationspflichten, Verträge und Haftungsregelungen.

Fazit

Der Data Act eröffnet Unternehmen neue Chancen im Umgang mit Daten. Gleichzeitig macht er deutlich, wie wichtig eine gute Daten-Governance ist. Wer weiß, welche Daten entstehen, wer darauf zugreifen darf und welche rechtlichen Anforderungen gelten, kann Datenzugang und Datenschutz sinnvoll miteinander verbinden.
Die zentrale Leitlinie lautet: Der Data Act macht Daten verfügbarer, die DSGVO setzt bei personenbezogenen Daten weiterhin den Schutzrahmen. Unternehmen sind daher gut beraten, ihre Datenbestände zu klassifizieren, Rechtsgrundlagen zu prüfen, Prozesse für Zugangsverlangen zu schaffen und technische Schutzmaßnahmen frühzeitig zu etablieren. So wird der Data Act nicht nur zur Compliance-Aufgabe, sondern auch zu einer Chance für einen transparenteren und verantwortungsvolleren Umgang mit Daten.

Falls Sie Fragen zum geschilderten Thema und/oder zu anderen datenschutzrelevanten Themen haben, kontaktieren Sie uns einfach!

Zentrale Hutthurm: +49 (0) 8505 91927 – 0

Niederlassung München: +49 (0) 89 413 2943 – 0

Oder nutzen Sie unser Kontaktformular.

/assets/images/t/Nadja-22bmdatj0e84j29.png
Nadja-Maria

Nadja-Maria leitet unser Inhouse-Juristen-Team. Sie studierte an der Universität Passau Rechtswissenschaften mit anschließendem Referendariat sowie erstem und zweitem Staatsexamen. Ihr Spezialgebiet ist Datenschutzrecht. Ihr fundiertes Wissen hält sie jederzeit aktuell. Für unsere Kunden und unser Team hat sie so immer einen Rat für eine passgenaue Lösung parat.