Karsten Füllhaase

Dachverband EFDPO veröffentlicht Positionspapier zum Data Act

Der Data Act zielt darauf ab, einen europaweiten Rechtsrahmen für den Zugang, die Nutzung und den Austausch von in der EU generierten Daten zu schaffen. Mit diesem Vorschlag will die Europäische Kommission unter anderem ein einheitliches Umfeld für die Verbesserung des Austauschs und der Nutzung von Daten in allen Wirtschaftszweigen schaffen. Der vom BvD mitgegründete Dachverband European Federation of Data Protection Officers (EFDPO) hat nun ein Positionspapier zum Entwurtf des Data Act veröffentlicht.

In dem Positionspapier betont die EFDPO, dass der Data Act regelmäßig Datensätze betreffen wird, die personenbezogene Daten enthalten. Zu klären seien daher bislang unklare Bereiche im Zusammenspiel zwischen dem Data Act und der DSGVO. Dazu gehören insbesondere Fragen der „Gestaltung“ der gemeinsamen Datennutzung im Lichte der Bestimmungen der DSGVO. Z.B. die Rechtsgrundlagen für die Verarbeitung personenbezogener Daten durch einen neuen Verantwortlichen und die Möglichkeit, Daten für andere Zwecke zu verarbeiten als die, für die die personenbezogenen Daten im Sinne von Artikel 6 Absatz 4 DSGVO erhoben wurden, die Notwendigkeit, nur pseudonymisierte Daten zu verwenden, usw. Dies könnte dem Grundgedanken und den Hauptzielen des Datengesetzes widersprechen. Das Fehlen klarer Leitlinien für das Zusammenspiel zwischen dem Data Act und der DSGVO schafft einen komplexen Rechtsrahmen und stellt eine große Belastung für die Unternehmen dar, die mehrere Rechtsvorschriften mit potenziell widersprüchlichen Regeln miteinander in Einklang bringen müssen. Tiefgreifende Analysen der Datensätze in Bezug auf mehrere Rechtsvorschriften werden erforderlich sein, wobei verschiedene Aspekte abgewogen und Auslegungsunsicherheiten, die bereits jetzt absehbar sind, in Einklang gebracht werden müssen. Darüber hinaus werden sich zusätzliche Unklarheiten und unklare Regelungen aus dem Zusammenspiel mit anderen Rechtsvorschriften ergeben (z. B. dem Data Governance Act, der Richtlinie 2019/790/EU über Urheberrecht und verwandte Schutzrechte im digitalen Binnenmarkt, dem Digital Markets Act und dem Digital Services Act).

Der Data Act, wie er derzeit vorgeschlagen wird, geht nicht auf diese Fragen und Unsicherheiten im Zusammenhang mit seiner Anwendung auf gemischte Datensätze ein. Derzeit ist unklar, wie auf Datensätze, die personenbezogene Daten enthalten, zugegriffen werden kann und wie sie gemeinsam genutzt werden können, z.B. Big Data. Mögliche Lösungen hierfür könnten beispielsweise die Einführung von regulatorischen Sandboxes oder EU-weiten Ausnahmeregelungen, z. B. für Forschungs- und Entwicklungszwecke, sein, die es einfacher machen würden, die Rechtsgrundlage für die Verarbeitung von Datensätzen, die personenbezogene Daten enthalten, für die definierten Zwecke zu finden.

Die EFDPO betont in ihrem Papier zudem, dass es zur Erreichung des Ziels der Europäischen Kommission, einen einheitlichen Datenraum zu schaffen und die Position der EU in der Datenwirtschaft zu stärken, auch notwendig sein wird, Experten zu finden, die in der Lage sind, die Vorschriften des Data Act umzusetzen. Und dies in einer Situation, in der es in der EU bereits einen Mangel an Hunderttausenden von qualifizierten IT- und Datenfachkräften gibt.

Daher weist die EFDPO darauf hin, dass viele Unternehmen und öffentliche Einrichtungen bereits über Experten verfügen, die sich in ihrer täglichen Arbeit mit Daten, Datenverarbeitung und Datenaustausch befassen. Dies sind die Datenschutzbeauftragten nach Artikel 37 ff. der DSGVO. Sie könnten nach Auffassung der EFDPO eine wichtige und positive Rolle bei der Umsetzung des Data Act in die Praxis spielen. Von daher ist die EFDPO überrascht, dass der Entwurf zum Data Act nicht auf dem Potenzial und der Erfahrung der Datenschutzbeauftragten aufbaut.

Eine stärkere Einbeziehung der Datenschutzbeauftragten in die Umsetzung des Data Act hätte laut EFDPO nicht nur positive Auswirkungen auf die Geschwindigkeit der Umsetzung, sondern auch auf das Vertrauen der Öffentlichkeit, der betroffenen Unternehmen und der Aufsichtsbehörden in die Machbarkeit der Umsetzung. Schließlich, und das ist wichtig, würde ein größeres Vertrauen in die Datenschutzbeauftragten wahrscheinlich auch zu erheblichen Einsparungen für die Unternehmen und Behörden führen, die sich zur Verbesserung ihrer Tätigkeiten auf den Data Act stützen müssen.

Die EFDPO fordert daher die Europäische Kommission, das Parlament und den Rat auf, dem Zusammenspiel zwischen dem Data Act und der DSGVO sowie der Anwendung des Data Act auf Datensätze, die personenbezogene Daten enthalten, bei der Fertigstellung des Data Act mehr Aufmerksamkeit zu widmen.
Konkret schlägt das EFDPO-Positionspapier vor, dass

  • der Data Act die derzeitigen Unklarheiten in Bezug auf die Datenübermittlung, die Rechtsgrundlage für die Verarbeitung personenbezogener Daten zum Zwecke der Umsetzung des Data Act und die Frage der Anonymisierung personenbezogener Daten beseitigt.
  • der Data Act erkennt, zumindest in seinen Erwägungsgründen, die Rolle der Datenschutzbeauftragten bei der Umsetzung des Gesetzes in Bezug auf Datensätze mit personenbezogenen Daten an. Wir sind der Meinung, dass die Kommission diese Rolle auch in ihrer Kommunikation zum Data Act hervorheben sollte.

Zum EFDPO-Positionspapier (englisch)

Weitere Informationen zum Thema: Am 5. September lud der BvD gemeinsam mit dem DIHK und der Stiftung Datenschutz zu einer Tagung mit Expertinnen und Experten aus der EU-Kommission, Verbänden und ausgewählten Unternehmen zum Thema „Data Act und seine Auswirkung auf die Wirtschaft“ in Berlin. Der Mitschnitt der Tagung und ein gemeinsames Positionspapier sind kostenlos verfügbar unter https://data-act.org.

Das könnte Sie auch interessieren