IT-Recht & Datenschutz

Data Act: Teil 3 – Data Act und DSGVO

Veröffentlicht am 25th März 2025

(Wie) geht das zusammen? 

Ab dem 12. September 2025 kommt ein Großteil der Verpflichtungen aus dem Data Act (Datenverordnung – DVO) zur Anwendung und damit u.a. für Anbieter vernetzter Produkte und verbundener Dienste die Pflicht, bestimmten Akteuren Zugang zu Daten über die Nutzung zu gewähren. Hiervon sind prinzipiell personenbezogene und nicht personenbezogene Daten gleichermaßen betroffen, denn der Data Act findet auf beide Datenarten Anwendung (Art. 1 Abs. 2 DVO). Damit ist aber leider nicht automatisch gewährleistet, dass man sich künftig für Zwecke des Data Act eine differenzierte Betrachtung sparen könnte. Denn der Data Act trifft an vielen Stellen eben doch unterschiedliche Regelungen, je nachdem, ob es um personenbezogene Daten geht oder nicht:

  • Kap. VII DVO gilt generell nur für nicht-personenbezogene Daten;
  • Art.  4 (12) und 5 (7) DVO schränken die Herausgabepflicht des Dateninhabers nur bzgl. personenbezogener Daten ein;
  • Der Vertragsvorbehalt und die Nutzungsbeschränkungen für Dateninhaber in Art. 4 (13) und (14) DVO gelten nur für nicht-personenbezogene Daten;
  • Art. 5 (1) DVO enthält eine Sondervorschrift bzgl. personenbezogener Daten in dem Sinne, dass das darin verankerte Datenweitergaberecht die Rechte betroffener Personen nach DSGVO nicht beeinträchtigen darf.

Es bleibt somit dabei, dass die DSGVO Sonderregelungen für den Umgang mit personenbezogenen Daten trifft, die potenziell auch im Rahmen des Data Act beachtet werden müssen. Es ist also weiterhin notwendig, mit der Differenzierung zwischen personenbezogenen und nicht-personenbezogenen Daten umzugehen.

Auflösung von Differenzierungen durch pauschale Vorrangregelung?

Leider hilft es hierbei auch nicht weiter, pauschal von einem Vorrang der DSGVO vor der DVO auszugehen und auf diese Weise unliebsame Pflichten auf Datenzugangsgewährung nach der DVO pauschal auszuhebeln. Zwar statuiert Art. 1 Abs. 5 S. 1 DVO, dass der Data Act „unbeschadet“ der DSGVO gelte. Und nach ErwG 7 S. 2 DVO sei es so, dass die DVO das Unionsrecht zum Schutz personenbezogener Daten ergänzt und es unberührt lasse. Hierzu hat die Kommission in Ihrem am 3. Februar 2025 aktualisierten FAQ-Dokument zum Data Act sogar klargestellt: „The GDPR is fully applicable to all personal data processing activities under the Data Act. The Data Act does not regulate as such the protection of personal data.

Diese Festlegungen sind aber leider unterkomplex und bestenfalls missverständlich. Sie bedeuten nach verständiger Auslegung der DVO gerade nicht, dass die DSGVO immer und pauschal der DVO vorginge. Das lässt sich an folgenden Regelungen ablesen:

  • Nach Art. 1 Abs. 5 S. 3 DVO soll das Datenschutzrecht (nur) im Falle eines Widerspruchs zwischen DVO und DSGVO Vorrang besitzen;
  • Der Data Act enthält Regelungen, die allgemein den Umgang mit „Daten“ regeln und somit gerade auch für personenbezogene Daten gelten sollen; z.B. Nutzungsbeschränkungen von Dritten nach Art. 6 DVO;
  • Der Data Act enthält sogar vereinzelt Sonderregelungen auch gezielt nur zu personenbezogenen Daten; z.B. für den Fall der Einbeziehung von Auftragsverarbeitern bei der Datenzugangsgewährung (ErwG 29 DVO) oder bei Datenbereitstellungsverlangen nach Art. 17 (1) g) DVO.

Letztlich bestätigt auch die Kommission diese Auslegung, wenn sie in ihren FAQ ausführt: „In some cases, the Data Act specifies and complements the GDPR“.

Das bedeutet, dass Pflichten oder Verbote aus der DSGVO nicht pauschal etwaigen Pflichten nach der DVO entgegengehalten werden können. Es muss eine Prüfung im Einzelfall erfolgen, ob in concreto eine Pflichtenkollision besteht, die einen Regelungskonflikt mit sich bringt.

Wann liegt ein Regelungskonflikt vor?

Zu der Frage, wann ein solcher Regelungskonflikt besteht (der hier dann wirklich zu einer Unanwendbarkeit der DVO führen könnte) hat sich der EuGH bereits in einer durchaus vergleichbaren Fallgestaltung verhalten. Diese Rechtsprechung lässt sich hier als Auslegungsmaxime auch für die DVO heranziehen.

In seinem Urteil in Sachen Wind, hat der EuGH das Vorliegen eines Regelungskonflikts durch Auslegung von vergleichbaren Regelungen in Art. 3 der Richtlinie 2005/29 zu unlauteren Geschäftspraktiken und Art. 1 Abs. 4 der Universaldienstrichtlinie wie folgt bestimmt: (EuGH, Urt. v. 13.09.2018, Rs. C-54/17 und C-55/17, Tz. 60f.)

  • Eine Kollision bedeutet eine Beziehung zwischen den Bestimmungen, die über eine bloße Abweichung oder einen einfachen Unterschied hinausgeht und eine Divergenz aufweist, die unmöglich durch Ausgleich überwunden werden kann.
  • Eine Kollision liege demnach nicht vor, wenn die Regelungen das Nebeneinanderbestehen von zwei Sachverhalten ermöglichen, ohne sie verfälschen zu müssen.
  • Eine Kollision besteht vielmehr nur dann, wenn ein Rechtsakt Verpflichtungen auferlegt, die mit denen aus anderem Rechtsakt unvereinbar sind.

Das bedeutet: Ein Regelungskonflikt mit der DSGVO, der zur Unanwendbarkeit einer DVO-Regelung führen könnte, bestünde hier praxisnah nur dann, wenn die DSGVO eine Datenverarbeitung verbietet, die die DVO aber zwingend verlangt. Kein Regelungskonflikt besteht hingegen, wenn z.B. die DVO eine Verarbeitung verlangt, die DSGVO aber eine solche nicht verlangt (wenn auch ermöglicht); in solchen Fällen ist eine Koexistenz beider Regelungsregime möglich, indem eben die DVO-Regelung mit Verpflichtungscharakter vorgeht.

Folgerungen für Datenzugangsszenarien

Was heißt das ganz konkret für praxisrelevante Fallgestaltungen im Zusammenhang mit Datenzugangsansprüchen nach Art. 4 ff. DVO:

  • Darf ein Unternehmen pauschal unter Verweis auf den Vorrang der DSGVO die Weitergabe personenbezogener Daten an einen Dritten verweigern? Nein: Art. 5 Abs. 1 S. DVO verankert ein Recht des Nutzers, vom Dateninhaber die Weitergabe von Daten an Dritten zu verlangen. In Art. 5 Abs. 13 DVO ist eine eigenständige spezielle Regelung zur Beachtung der Rechte betroffener Personen gemäß DSGVO enthalten; diese ist hier zu beachten. Im Ergebnis bedarf es einer datenschutzrechtlichen Ermächtigungsgrundlage nach Art. 6 DSGVO; eine pauschale Verweigerung lässt sich aber nicht rechtfertigen.
  • Hebelt der Vorrang der DSGVO die strengere Löschpflicht aus dem Data Act bzgl. personenbezogener Daten aus, so dass Daten weiter und länger aufbewahrt werden dürfen? Nein: Nach Art. 6 Abs. 1 S. 2 DVO muss der Dritte die erhaltenen (personenbezogenen) Daten löschen, sobald er sie für den vereinbarten Zweck nicht mehr benötigt. Diese spezielle Löschpflicht ist zwar strenger als Art. 17 DSGVO und sie enthält auch keine Ausnahme für personenbezogene Daten. Weil die DSGVO aber eben nur die Möglichkeit einer längeren Aufbewahrung schafft, jedoch keine Pflicht, ergibt sich kein über die Vorrangregelung aufzulösender Konflikt.
  • Kann ein Unternehmen unter Berufung auf die DSGVO Daten für andere Zwecke verarbeiten, auch wenn der Data Act dies verbietet? Nein: Art. 6 Abs. 1 S. DVO verbietet es dem Dritten, die ihm bereitgestellten Daten zu anderen Zwecken zu nutzen als mit dem Nutzer vereinbart. Diese Zweckbindungsregelung ist strenger als diejenige in 6 Abs. 4 DSGVO. Dennoch ist es dem Dritten verwehrt, eine Zweckänderung entgegen der DVO-Regelung nun auf Basis der DSGVO vorzunehmen; denn auch hier ermöglicht die DSGVO eine solche Zweckänderung nur, verlangt sie aber nicht, so dass wiederum kein echter Konflikt besteht und der Data Act Vorrang genießt.
  • Darf ein Unternehmen die Herausgabe personenbezogener Daten an einen Dritten verweigern, wenn es hierfür keine Rechtsgrundlage nach der DSGVO besitzt? Ja: Art. 5 Abs. 1 S. DVO verankert zwar, wie schon dargelegt, ein Recht des Nutzers, vom Dateninhaber die Weitergabe von Daten an einen Dritten zu verlangen; für den Fall, dass sich die Daten nicht (nur) auf den Nutzer, sondern eine andere natürliche Person beziehen, benötigt der Dateninhaber nach Art. 5 Abs. 7 DVO hierfür aber eine datenschutzrechtliche Ermächtigungsgrundlage im Sinne von Art. 6 DSGVO. Weil sich diese Anforderung sogar direkt aus der DVO ergibt, stellt sich die Frage der Vorrangigkeit der DSGVO hier gar nicht.

Im Ergebnis zeigt sich, dass entgegen der landläufigen Vorstellung, die DSGVO genieße Vorrang vor dem Data Act, letzterer auch für den Umgang mit personenbezogenen Daten häufig verbindliche Vorgaben macht, die strenger sind als die DSGVO und ihr trotzdem vorgehen. Verarbeitungsrestriktionen nach der DVO sind somit zusätzlich zur DSGVO zu beachten. Unternehmen müssen dies durch eine entsprechende Anpassung auch ihrer Datenschutz-Governance berücksichtigen.

Notwendigkeit der Feststellung des Personenbezugs der Daten

Das bedeutet aber auch, dass die vom Data Act betroffenen Unternehmen nicht darauf verzichten können, die verarbeiteten Daten richtig zu qualifizieren – also als personenbezogen oder als nicht personenbezogen. Denn nur dann kann eine Einhaltung von DVO und DSGVO gewährleistet werden. Diese Feststellung bleibt diffizil. Bisher hatten sich manche Unternehmen deshalb bei der Frage, ob auf einen Datenbestand die DSGVO angewendet wird oder nicht, für einen vorsichtigen Ansatz entschieden und sind quasi vorsorglich von einem Personenbezug ausgegangen. Dieser Ansatz wird im Anwendungsbereich des Data Act nicht mehr möglich sein, denn er könnte dazu führen, dass bestimmte Daten (wegen ihres vermeintlichen Personenbezugs) ungerechtfertigt vom Datenzugang ausgenommen werden.

Im Ausgangspunkt kommt es den Rechtsanwendern hier zumindest entgegen, dass die Frage des Personenbezugs nach DVO und DSGVO einheitlich bewertet wird und es deshalb nicht zu definitorischen Unschärfen kommen kann: Nach Art. 2 Nr. 3 und 4 DVO sind „personenbezogene Daten“ im Sinne der DVO solche im Sinne des Art. 4 Nr. 1 DSGVO.

Den Erwägungsgründen der DVO ist ferner zu entnehmen, dass bei Datensätzen mit untrennbar verbundenen personenbezogenen und nicht-personenbezogenen Daten insgesamt von einem Personenbezug ausgegangen werden solle (ErwG 34 DVO).

Leider ist auch bisher unter der DSGVO im Detail höchst unklar, wie personenbezogene Daten genau von nicht-personenbezogenen – also anonymen – Daten abzugrenzen sind. Weil die Frage des Personenbezugs zudem relativ und nicht absolut zu bestimmen ist und deshalb von den Möglichkeiten und der Wahrscheinlichkeit einer Identifizierung der jeweiligen Stelle abhängt, verbieten sich pauschale Klassifizierungen ohnehin. Eine „echte“ Anonymisierung, also ein vollständiger Entfall des Personenbezugs sämtlicher Daten, bleibt schwierig zu realisieren. Für den Dateninhaber wird ein Datensatz ggf. schon anonym sein, wenn bestimmte Identifier gelöscht werden. Für den Nutzer aber, der als juristische Person bspw. Arbeitgeber mehrerer nutzender Personen eines vernetzten Geräts ist, ist eine Zuordnung aus dem Zusammenspiel von Nutzungsdaten eventuell dennoch möglich.

Rechtfertigung von nach DVO gebotenen Datenverarbeitungen

Ist festgestellt, dass bei einem Datenzugangsverlangen personenbezogene Daten zu verarbeiten sind, bedarf es einer Rechtfertigung nach Maßgabe der DSGVO. Der Data Act selbst rechtfertigt die Datenverarbeitung explizit nicht. Es kommen somit die Rechtsgrundlagen aus Art. 6 DSGVO zur Anwendung. Gerade wenn es um eine Weitergabe der Daten von betroffenen Personen, die keine Nutzer sind, an Dritte nach Art. 5 DVO geht, wird für den Dateninhaber zumeist nur eine Verfolgung berechtigter Interessen im Sinne von Art. 6 Abs. 1 lit. f DSGVO in Betracht kommen, weil weder ein Vertragsverhältnis noch ein direkter Kontakt mit der betroffenen Person besteht (sondern nur mit dem Nutzer). Ob diese Interessenabwägung dann aber regelmäßig zugunsten des Dateninhabers ausgehen wird, steht angesichts der äußerst strengen Rechtsprechung des EuGH zu diesem Rechtfertigungsgrund in den Sternen:

  • In einer der Urteile in Sachen Meta Platforms hat der EuGH postuliert, dass die Erlaubnistatbestände in Art. 6 Abs. 1 lit. b bis lit. f DSGVO (mithin alle Erlaubnistatbestände außer der Einwilligung) generell eng aus[zu]legen seien, da sie dazu führen können, dass eine Verarbeitung personenbezogener Daten trotz fehlender Einwilligung der betroffenen Person rechtmäßig ist (EuGH, Urt. v. 4.7.2023 – C-252/21, Rn. 93).
  • Nach der Entscheidung des EuGH in Sachen Mousse soll zudem das objektive Vorliegen eines berechtigten Interesses allein nicht ausreichend sein, sondern es müsse den betroffenen Personen das verfolgte berechtigte Interesse zum Zeitpunkt der Erhebung der Daten auch unmittelbar mitgeteilt worden sein, damit eine Datenverarbeitung auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden könne (EuGH, Urt. v. 9.1.2025, C-394/23, Rn. 52).
  • In der Entscheidung Koninklijke Nederlandse Lawn Tennisbond versteigen sich die Luxemburger Richter gar zu der These, dass der Verantwortliche zudem allen anderen ihm obliegenden Pflichten aus der DSGVO nachkommen müsse, damit die Wahrnehmung eines berechtigten Interesses eine Verarbeitung personenbezogener Daten gemäß Art. 6 Abs. 1 lit. f DSGVO rechtfertigen könne (EuGH, Urt. v. 4.10.2024, C-621/22, Rn. 50).

Während Unternehmen bei der Rechtfertigung eigennütziger Verarbeitung über die Interessenabwägung regelmäßig einen großzügigen Maßstab anlegen, werden die Dateninhaber hier vermutlich sehr viel vorsichtiger agieren und im Zweifel einer strengen Auslegung der DSGVO das Wort reden, um keinen Datenschutzverstoß zu begehen.

Sonstige Wechselwirkungen zwischen DVO und DSGVO

Aber auch jenseits des Aspekts der Zulässigkeit, Daten mit oder ohne Personenbezug für Zwecke des Data Act zu verarbeiten, bestehen Wechselwirkungen zwischen DVO und DSGVO, die Unternehmen zu beachten haben. Ein praxisrelevantes Beispiel stellt die Betroffenheit von Auftragsverarbeitern dar. Kommen Auftragsverarbeiter auch im Anwendungsbereich des Data Act zum Einsatz, sind besondere Vorkehrungen zu treffen:

  • Auftragsverarbeiter sind zwar selbst nicht als Dateninhaber zu qualifizieren (ErwG 22 S. 4 DVO), nach ErwG 29 S. 2 DVO sollen Dateninhaber aber sicherstellen, dass Zugangsverlangen auch von etwa eingeschalteten Auftragsverarbeitern entgegengenommen und bearbeitet werden. Es empfiehlt sich deshalb, die Auftragsverarbeitungsverträge um entsprechende Weisungsbefugnisse zu ergänzen;
  • Zudem ist es so, dass die Verneinung der Eigenschaft als Dateninhaber nur gilt, soweit die Daten auch im Auftrag verarbeitet werden. Zunehmend tauchen aber Mischformen der Zusammenarbeit auf, in denen Auftragsverarbeiter bestimmte Verarbeitungen außerhalb der Weisungsbindung für eigene Zwecke verarbeiten; z.B. zum Zwecke des Trainings von KI-Modellen. Insoweit fungiert der Auftragsverarbeiter dann aber als eigenständiger Verantwortlicher und unterliegt seinerseits einer Herausgabepflicht als Dateninhaber unter dem Data Act.

Fazit und Empfehlungen

Das Zusammenspiel von Data Act und DSGVO ist hochkomplex. Anstatt einer vermeintlich einfachen und pauschalen Vorrangregelung zugunsten der DSGVO gibt eine Vielzahl von Verschränkungen und Verflechtungen, deren Tauglichkeit sich erst in der Praxis erweisen muss. Egal ob als potenzieller Anspruchsteller oder Anspruchsverpflichteter nach dem Data Act sollten Unternehmen die möglichen Auswirkungen bereits vor der Konfrontation mit konkreten Daten-Herausgabeverlangen genau untersuchen, um im Vorfeld die Weichen für eine datenschutzkonforme Umsetzung des Data Act zu stellen. Folgende Maßnahmen seien beispielhaft benannt:

  • Prüfung und Update der Datenklassifizierungen, um der veränderten Bedeutung nicht-personenbezogener Daten nach dem Data Act Rechnung zu tragen;
  • Prüfung und ggf. Anpassung des Verantwortlichkeitskonzepts, um festzustellen, wer für welche Verarbeitung als datenschutzrechtlich „Verantwortlicher“ als Dateninhaber nach dem Data Act zu qualifizieren ist;
  • Prüfung und ggf. Anpassung des Datennutzungskonzepts (einschließlich des Sperr- und Löschkonzepts und des Zugriffskonzepts) angesichts der über die DSGVO-Vorgaben hinausgehenden Anforderungen an Zweckbindung, Löschung etc.;
  • Ergänzung der Datenschutzerklärungen um diejenigen berechtigten Interessen, auf die ggf. Datenweitergaben und andere -verarbeitungen nach dem Data Act gestützt werden;
  • Anpassung von Einwilligungen und Nutzungsverträgen zur Verankerung rechtfertigungsbedürftiger, vom Data Act ausgelöster Datenverarbeitungen;
  • Prüfung und Ergänzung sowohl von Auftragsverarbeitungsverträgen als auch von Verträgen über gemeinsame Verantwortlichkeit, um angemessene Weisungen bzw. Vereinbarungen zur Ermöglichung von Datenzugangsgewährungen zu integrieren.
Teilen
Related articles
Data Act: Teil 2 – Geltendmachung von Ansprüchen unter dem Data Act
17/02/2025 4 mins
Die Verordnung für den Europäischen Gesundheitsdatenraum (EHDS) ist in den finalen Zügen – Auswirkungen auf Life-Sciences-Unternehmen
06/02/2025 6 mins
Abschluss des Verfahrens gegen AVM wegen OSS-Lizenzverletzung – einmal mehr FUD – oder ein echter Game Changer?
28/01/2025 5 mins
Data Act: Teil 1 – was regelt der Data Act überhaupt?
23/01/2025 5 mins
Wollen Sie häufiger von uns hören?

Wir informieren Sie über Insights, News und Events zu Ihren relevanten Themen.

Jetzt anmelden

* Dieser Artikel entspricht dem aktuellen Stand zum Zeitpunkt seiner Veröffentlichung und spiegelt nicht notwendigerweise den aktuellen Stand des Gesetzes / der Regulatorik wider.

Sprechen Sie uns an

Wollen Sie häufiger von uns hören?

Wir informieren Sie über Insights, News und Events zu Ihren relevanten Themen.

Jetzt anmelden