Der Data Act soll den Zugang zu Daten erleichtern und deren Nutzung fördern. Gleichzeitig gilt bereits seit Jahren die Datenschutz-Grundverordnung (DSGVO), die auf einen restriktiven Umgang mit personenbezogenen Daten setzt.

Beide Regelwerke verfolgen somit unterschiedliche Ziele:

Während die DSGVO die Datensparsamkeit betont und die Verarbeitung sowie Weitergabe personenbezogener Daten nur unter strengen rechtlichen Voraussetzungen zulässt, blieben Daten in Unternehmen über Jahre hinweg häufig ungenutzt (nach Umfragen bis zu 80 %) und wurden nicht systematisch erschlossen. Mit dem EU Data Act soll damit nun Schluss sein: Die Datensilos sollen durch einen rechtliche abgesicherten Zugangsanspruch geöffnet werden, um den Zugang zu und die Nutzung von Daten, insbesondere aus vernetzten Produkten und Dienstleistungen, zu erleichtern und so Innovation, neue Geschäftsmodelle sowie mehr Wettbewerb in der europäischen Datenökonomie zu fördern, ohne den Schutz personenbezogener Daten aufzugeben.

Der Data Act erfasst ausdrücklich sowohl personenbezogene als auch nicht-personenbezogene Daten.

Damit ist ein Spannungsfeld angelegt: Werden Daten nicht herausgegeben, kann dies einen Verstoß gegen den EU Data Act darstellen; werden hingegen personenbezogene Daten ohne entsprechende Rechtsgrundlage weitergegeben, liegt ein Verstoß gegen die DSGVO vor.

Gleichzeitig ist klargestellt, dass der Data Act keine Rechtsgrundlage im Sinne der DSGVO ist (insb. nicht im Sinne von Art. 6(1)c DSGVO). Im Falle von Widersprüchen hat die DSGVO Vorrang (Art. 1 Abs. 5 Data Act). Damit bleibt der Schutz personenbezogener Daten unangetastet, falls die Daten im Sinne des Data Act gleichzeitig auch personenbezogene Daten sind.

Gemischte Datensätze als Herausforderung

In der Praxis bereiten vor allem gemischte Datensätze Schwierigkeiten. Der Grund dafür ist, dass in Unternehmen personenbezogene Daten und nicht-personenbezogene Daten häufig gemeinsam in Datensätzen vorliegen, sodass sorgfältig geprüft werden muss, wie diese Daten getrennt, anonymisiert oder rechtssicher bereitgestellt werden können.

Da der Europäische Gerichtshof den Begriff der personenbezogenen Daten sehr weit auslegt, fallen zahlreiche, von IoT-Produkten und vernetzten Diensten erzeugte Informationen in den Anwendungsbereich der DSGVO. Dies führt zu einer Überschneidung in der Anwendung beider Regelwerke, es erschwert die Umsetzung der Vorgaben des Data Acts.

Rechtsgrundlage für Erhebung und Weitergabe personenbezogener Daten

Der Data Act schafft keine Grundlage für die Erhebung oder Generierung personenbezogener Daten. Er legt aber fest, dass Daten weitergegeben werden können, wenn die betroffene Person dies verlangt. In solchen Fällen kann die Herausgabe als konkludente Einwilligung im Sinne von Art. 6 Abs. 1 lit. a DSGVO gewertet werden.

Anders verhält es sich, wenn der Nutzer nicht zugleich die betroffene Person ist. In diesem Fall bietet der Data Act keine eigenständige Rechtsgrundlage für den Zugang oder die Weitergabe personenbezogener Daten an Dritte. Die Datenverarbeitung bedarf daher einer gesonderten Rechtfertigung nach der DSGVO, wobei insbesondere eine Einwilligung, eine vertragliche Grundlage oder ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO in Betracht kommen. Maßgeblich ist hierbei eine umfassende Interessenabwägung im Einzelfall, bei der insbesondere die Art der betroffenen Daten, die berechtigten Erwartungen der betroffenen Person sowie der konkrete Verwendungszweck der Daten zu berücksichtigen sind. Ob und in welchem Umfang Art. 6 Abs. 1 lit. f DSGVO im Zusammenspiel mit den Herausgabepflichten des Data Act eine tragfähige Rechtsgrundlage darstellen kann, ist bislang nicht abschließend geklärt und dürfte maßgeblich von der jeweiligen Fallgestaltung abhängen.

Rollen und Verantwortlichkeiten

Auch die Frage der datenschutzrechtlichen Verantwortlichkeit stellt sich neu. Je nach Konstellation kann zwischen Dateninhaber, Nutzer und Datenempfänger eine gemeinsame Verantwortlichkeit (Art. 26 DSGVO) oder ein Auftragsverarbeitungsverhältnis (Art. 28 DSGVO) bestehen. Verfolgt der Datenempfänger eigene Zwecke, wird er als eigenständig Verantwortlicher eingestuft.

Aufsicht durch Datenschutzbehörden

Die Überwachung der Einhaltung datenschutzrechtlicher Vorgaben im Rahmen des Data Act obliegt nach Art. 37 Abs. 3 Data Act den Datenschutzbehörden, soweit personenbezogene Daten betroffen sind. Die Aufsicht über die Einhaltung der übrigen Vorgaben des Data Act liegt nach Art. 37 Abs. 1 Data Act bei den von den Mitgliedstaaten benannten zuständigen Behörden und besteht damit neben deren Zuständigkeit nach der DSGVO. Ob diese parallele Zuständigkeitsstruktur in der Praxis tatsächlich zielführend ist, bleibt abzuwarten.

Fazit

Das Zusammenspiel von Data Act und DSGVO zeigt, wie sensibel die Balance zwischen dem Schutz personenbezogener Daten und der Öffnung von Daten für eine breitere Nutzung ist. Der Data Act verfolgt das Ziel, den Zugang zu Daten zu erleichtern und ihre Weitergabe zu fördern. Gleichzeitig bleibt die DSGVO das zentrale Regelwerk, wenn es um den Schutz der Privatsphäre geht. Für Unternehmen und Verantwortliche bedeutet das, dass sie beide Vorgaben genau verstehen und in ihre Prozesse einbinden müssen, um rechtliche Unsicherheiten zu vermeiden.

Weiterführende Quellen und Literaturhinweise

Antoine, Datenzugang im Spannungsfeld zwischen DSGVO, Geschäftsgeheimnisschutz und Datenbankherstellerrecht, CR 2024, 73.
Baumann/Brunnbauer, Datenschutzrechtliche Anforderungen bei der Bereitstellung von IoT-Daten nach dem Data Act, ZD 2025, 132.
Metzger, Datenschutz oder Datenzugang? Neuausrichtung des europäischen Datenrechts nach dem Data Act, NJW 2025, 2729.