Da­ta Act und Da­ten­schutz

Verhältnis Data Act und DSGVO

Datenzugangsansprüche aus dem Data Act gelten für nicht-personenbezogene Daten und für personenbezogene Daten. Die Verarbeitung personenbezogener Daten unterliegt den Vorschriften der Datenschutz-Grundverordnung (DSGVO). Der Data Act sieht vor, dass die DSGVO „unberührt“ bleibt und im Falle eines Widerspruchs Vorrang genießt. Damit bleiben auch datenschutzrechtliche Ansprüche von Betroffenen grundsätzlich unberührt. Das bedeutet, dass Datenzugangsansprüche nach dem Data Act neben datenschutzrechtlichen Ansprüchen von Betroffenen nach der DSGVO bestehen können. Neben Ansprüchen auf Herausgabe nach Artikel 4 Absatz 1 und Artikel 5 Absatz 1 Data Act können insbesondere das Auskunftsrecht nach Artikel 15 Absatz 1, 3 DSGVO bzw. der Anspruch auf Datenübertragbarkeit nach Artikel 20 Absatz 1 DSGVO stehen.

Für die Anwendung und Durchsetzung des Data Acts in Deutschland ist gemäß § 2 des Gesetzes zur Durchführung des Data Acts (DADG) die Bundesnetzagentur als die zuständige Behörde nach Artikel 37 Absatz 1 Data Act benannt. Bezüglich des Schutzes personenbezogener Daten ist die/der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) gemäß § 3 Absatz 1 DADG nach Artikel 37 Absatz 3 Data Act bei einer Verarbeitung personenbezogener Daten durch nicht-öffentliche Stellen zuständig. Bei Verarbeitungen durch öffentliche Stellen bleibt es bei der § 9 Absatz 1 Bundesdatenschutzgesetz zugrundeliegenden Zuständigkeitsverteilung. Danach ist die/der BfDI für öffentliche Stellen des Bundes und für öffentliche Stellen der Länder die jeweils nach Landesrecht bestimmten Landesdatenschutzbeauftragten zuständig.

Zusammenarbeit zwischen der Bundesnetzagentur und der/dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit

Die Bundesnetzagentur und die/der BfDI arbeiten zur Erfüllung ihrer Aufgaben im Rahmen ihrer jeweiligen Zuständigkeiten aus dem Data Act und der DSGVO kooperativ und vertrauensvoll zusammen. Die/der BfDI unterstützt die Bundesnetzagentur in allen Fragen des Datenschutzrechts. In datenschutzrechtlichen Verfahren der/des BfDI, die Bezüge zum Data Act aufweisen, hat die/der BfDI die Bundesnetzagentur zu beteiligen. Dies ist insbesondere dann der Fall, wenn es um die Bereitstellung oder Weitergabe von personenbezogenen Daten aus vernetzten Produkten geht. Die Bundesnetzagentur informiert die/den BfDI wiederum immer dann, wenn personenbezogene Daten Streitgegenstand eines Verfahrens nach Data Act sind, und beteiligt die/den BfDI in Verfahren zu datenschutzrechtlichen Fragen.  

Verzahntes Verfahren

Aufgrund der in Artikel 37 Absatz 3 Data Act und § 3 Absatz 4 DADG geregelten Zuständigkeitsverteilung hat die Bundesnetzagentur die/den BfDI bezüglich des Schutzes personenbezogener Daten zu beteiligen, wenn in dem Verfahren eine Entscheidung über die Datenschutzkonformität der Verarbeitung personenbezogener Daten getroffen werden muss.

Beispiele:

• Bereitstellungsverlangen nach Artikel 4 und Artikel 5 Data Act, wenn die betroffene Person nach DSGVO und der Nutzer nicht identisch sind (Artikel 4 Absatz 12 und Artikel 5 Absatz 7 Data Act).

Es handelt sich um die Fälle, in denen der Nutzer des vernetzten Produktes nicht mit der nach Datenschutzrecht betroffenen Person, deren personenbezogene Daten verlangt werden, identisch ist. In diesem Fall kann ein Herausgabeverlangen nach dem Data Act nur dann positiv beschieden werden, wenn es für die Verarbeitung der personenbezogenen Daten der betroffenen Person eine gültige Rechtsgrundlage nach Artikel 6 DSGVO gibt und gegebenenfalls die Bedingungen des Artikel 9 DSGVO sowie des Artikel 5 Absatz 3 der Richtlinie 2002/58/EG („E-Privacy-Richtlinie“) erfüllt sind.

• Fragen im Rahmen der Überprüfung der Rechtmäßigkeit von Datenverlangen öffentlicher Stellen nach Kapitel V Data Act im Zusammenhang mit der Verarbeitung von personenbezogenen Daten und Fragen der Anonymisierung, Pseudonymisierung und der datenschutzrechtlich erforderlichen technischen und organisatorischen Maßnahmen (Artikel 18 Absatz 4, Artikel 19 Absatz 1b, Artikel 21 Absatz 5 Data Act).

Wird die/der BfDI von der Bundesnetzagentur im Rahmen eines behördlichen Verfahrens nach § 3  Absatz 4 und Absatz 5 DADG eingeschaltet, teilt die/der BfDI der Bundesnetzagentur ihre/seine Bewertung im Sinne einer effizienten und zügigen Verfahrensgestaltung in angemessener Frist mit. Die datenschutzrechtliche Bewertung der BfDI ist Bestandteil der verfahrensabschließenden Entscheidung der Bundesnetzagentur und kann nur gemeinsam mit dieser Entscheidung angefochten werden. Sollte die/der BfDI nicht innerhalb einer angemessenen Frist antworten, kann die Bundesnetzagentur ihre Untersuchung nach vorheriger Ankündigung fortsetzen.

Vereinfachtes Verfahren

Für die Verfahren nach dem Data Act sind schnelle und unbürokratische Verfahren von entscheidender Bedeutung, um das Ziel der Förderung einer Datenwirtschaft zu erreichen. Im Interesse der Verfahrenseffizienz und Verfahrensbeschleunigung kann daher eine aktive Beteiligung der/des BfDI im konkreten Einzelfall bzw. im verzahnten Verfahren entbehrlich sein, wenn der Fall in noch zu erarbeiteten Leitlinien der/des BfDI abgebildet ist oder sich die Auffassung der/des BfDI in vergleichbaren Fällen aus Verwaltungsentscheidungen der/des BfDI oder Gerichtsentscheidungen ergibt, an denen die/der BfDI beteiligt war.

Zur Vermeidung eines Abstimmungsaufwandes in jedem Einzelfall identifiziert die/der BfDI  unter Mitwirkung der Bundesnetzagentur Konstellationen, die als Muster oder voraussichtliche Präzedenzfälle einer Vielzahl von Verfahren zugrunde liegen werden und sich zur Aufnahme in die Leitlinie eignen, weil sie eine abstrakte datenschutzrechtliche Bewertung aufgrund insgesamt gleicher Fallgestaltungen oder unabhängig von den weiteren speziellen Umständen in den jeweiligen Fällen ermöglichen (z.B. wenn die betroffene Person im Sinne der DSGVO und der Nutzer im Rahmen von Bereitstellungsverlangen nach Artikel 4 und 5 Data Act identisch sind). Diese Leitlinien werden nach Fertigstellung hier veröffentlicht.

Aus verfahrensökonomischen Gründen kann die Bundesnetzagentur dann die Rechtsauffassung der/des BfDI zur datenschutzrechtlichen Bewertung der Leitlinie der/des BfDI oder der Verwaltungs- bzw. Gerichtsentscheidung entnehmen. In diesen Konstellationen teilt die Bundesnetzagentur der/des BfDI nur die Beteiligten und ggf. den Gegenstand des Verfahrens mit.