In Folge 47 des Data Navigator Podcasts widmen sich Dr. Martin Schirmbacher und Dr. Hubertus von Rönne einem Thema, das seit Inkrafttreten des Data Act immer wieder als vermeintliches Gegenargument gegen Datenherausgabeansprüche angeführt wird: die DSGVO. Anlass ist unter anderem die dritte Denkwerkstatt der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zum Data Act, die in der Vorwoche stattgefunden hat.
Die Ausgangslage ist eindeutig: Der Data Act gilt ausdrücklich auch für personenbezogene Daten. Im Konfliktfall hat die DSGVO Vorrang. In der Praxis entsteht ein solcher Konflikt jedoch deutlich seltener, als häufig angenommen wird. Entscheidend ist dabei der sogenannte relative Personenbezug. Ob Daten personenbezogen sind, wird nicht abstrakt beurteilt, sondern aus der Perspektive des jeweils Verantwortlichen.
Am Beispiel eines Busfahrers veranschaulichen Dr. Martin Schirmbacher und Dr. Hubertus von Rönne diesen Grundsatz: Für die Berliner Verkehrsbetriebe haben die Fahrerdaten einen Personenbezug, da sie wissen, wer zu welchem Zeitpunkt welchen Bus gefahren hat. Für den Bushersteller, der lediglich Fahrzeugdaten ohne persönliche Anmeldung erhält, fehlt diese Zuordnung in der Regel. Bei einem Windpark kann es umgekehrt sein: Der Hersteller kennt seine Wartungsmitarbeitenden, während der Windparkbetreiber sie üblicherweise nicht identifizieren kann.
Daraus folgt: Derselbe Datensatz kann für eine Partei personenbezogen sein und für eine andere nicht. In Konstellationen nach dem Data Act ist es häufig gerade der Datenempfänger, der keinen Personenbezug herstellen kann.
Entsteht beim Empfänger dennoch ein Personenbezug, benötigt dieser eine Rechtsgrundlage nach der DSGVO. In Betracht kommen insbesondere berechtigte Interessen. Der Hersteller kann sich für die Datenübermittlung wiederum auf Art. 6 Abs. 1 Satz 1 lit. c DSGVO stützen, da die Weitergabe aufgrund einer rechtlichen Verpflichtung aus dem Data Act erfolgt.
Abschließend ordnen Dr. Martin Schirmbacher und Dr. Hubertus von Rönne die Zuständigkeiten der Aufsichtsbehörden ein. Für Beschwerden im Zusammenhang mit dem Data Act ist grundsätzlich die Bundesnetzagentur zuständig. Sobald personenbezogene Daten betroffen sind, muss sie die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit einbinden. Die Landesdatenschutzbehörden bleiben daneben für klassische Verstöße gegen die DSGVO zuständig – beispielsweise, wenn ein Landwirt beanstandet, dass ein Hersteller seine personenbezogenen Daten verarbeitet.
Hinweis: Wir verwenden Cookies, um Videos auf dieser Seite abzuspielen. Bitte aktivieren Sie diese in Ihren Browsereinstellungen.