Der Data Act soll den Zugang zu Daten erleichtern und deren Nutzung fördern. Gleichzeitig gilt bereits seit Jahren die Datenschutz-Grundverordnung (DSGVO), die auf einen restriktiven Umgang mit personenbezogenen Daten setzt.

Beide Regelwerke verfolgen somit unterschiedliche Ziele:

Während die DSGVO die Datensparsamkeit betont und die Verarbeitung sowie Weitergabe personenbezogener Daten nur unter strengen rechtlichen Voraussetzungen zulässt, blieben Daten in Unternehmen über Jahre hinweg häufig ungenutzt (bis 80 %!) und wurden nicht systematisch erschlossen. Mit dem EU Data Act soll damit nun Schluss sein: Die „Datenschleusen“ werden gezielt geöffnet, um den Zugang zu und die Nutzung von Daten, insbesondere aus vernetzten Produkten und Dienstleistungen, zu erleichtern und so Innovation, neue Geschäftsmodelle sowie mehr Wettbewerb in der europäischen Datenökonomie zu fördern, ohne den Schutz personenbezogener Daten aufzugeben.

Der Data Act erfasst ausdrücklich sowohl personenbezogene als auch nicht-personenbezogene Daten.

Damit sind Spannungen in der Praxis nahezu vorprogrammiert: Werden Daten nicht herausgegeben, kann dies einen Verstoß gegen den EU Data Act darstellen; werden hingegen personenbezogene Daten ohne entsprechende Rechtsgrundlage weitergegeben, liegt ein Verstoß gegen die DSGVO vor.

Gleichzeitig ist klargestellt, dass der Data Act die DSGVO nicht aushebelt. Im Falle von Widersprüchen hat die DSGVO Vorrang (Art. 1 Abs. 5 Data Act). Damit bleibt der Schutz personenbezogener Daten unangetastet.

Gemischte Datensätze als Herausforderung

In der Praxis bereiten vor allem gemischte Datensätze Schwierigkeiten. Der Grund dafür ist, dass in Unternehmen personenbezogene Daten und nicht-personenbezogene Daten häufig gemeinsam in Datensätzen vorliegen, sodass sorgfältig geprüft werden muss, wie diese Daten getrennt, anonymisiert oder rechtssicher bereitgestellt werden können.

Da der Europäische Gerichtshof den Begriff der personenbezogenen Daten sehr weit auslegt, fallen zahlreiche von IoT-Produkten und vernetzten Diensten erzeugte Informationen in den Anwendungsbereich der DSGVO. Dies führt zu einer engen Verknüpfung beider Regelwerke und erschwert die Umsetzung der Vorgaben des Data Acts.

Rechtsgrundlage für Erhebung und Weitergabe personenbezogener Daten

Der Data Act schafft keine Grundlage für die Erhebung oder Generierung personenbezogener Daten. Er legt aber fest, dass Daten weitergegeben werden können, wenn die betroffene Person dies verlangt. In solchen Fällen kann die Herausgabe als konkludente Einwilligung im Sinne von Art. 6 Abs. 1 lit. a DSGVO gewertet werden.

Anders verhält es sich, wenn der Nutzer nicht zugleich die betroffene Person ist. In diesem Fall bietet der Data Act keine Grundlage für den Zugang oder die Weitergabe personenbezogener Daten an Dritte. In solchen Fällen erfolgt eine Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO. Wichtig ist dabei, ob der Nutzer ein berechtigtes Interesse geltend machen kann, etwa bei der Verwendung der Daten zu anerkannten Zwecken wie dem Training von KI-Modellen. Offen bleibt jedoch, inwieweit diese Vorschrift tatsächlich als tragfähige Rechtsgrundlage im Kontext des Data Acts herangezogen werden kann.

Rollen und Verantwortlichkeiten

Auch die Frage der datenschutzrechtlichen Verantwortlichkeiten stellt sich neu. Je nach Konstellation kann zwischen Dateninhaber, Nutzer und Datenempfänger eine gemeinsame Verantwortlichkeit (Art. 26 DSGVO) oder ein Auftragsverarbeitungsverhältnis (Art. 28 DSGVO) bestehen. Verfolgt der Datenempfänger eigene Zwecke, wird er als eigenständiger Verantwortlicher eingestuft.

Aufsicht durch Datenschutzbehörden

Die Überwachung der Einhaltung des EU Data Act obliegt nach Art. 37 Abs. 3 den Datenschutzbehörden, soweit personenbezogene Daten betroffen sind, und besteht damit neben ihrer Zuständigkeit nach der DSGVO. Ob diese parallele Zuständigkeit in der Praxis tatsächlich zielführend ist und zu einer klaren sowie effizienten Aufsicht führt, bleibt abzuwarten.

Fazit

Das Zusammenspiel von Data Act und DSGVO zeigt, wie sensibel die Balance zwischen dem Schutz personenbezogener Daten und der Öffnung von Daten für eine breitere Nutzung ist. Der Data Act verfolgt das Ziel, den Zugang zu Daten zu erleichtern und ihre Weitergabe zu fördern. Gleichzeitig bleibt die DSGVO das zentrale Regelwerk, wenn es um den Schutz der Privatsphäre geht. Für Unternehmen und Verantwortliche bedeutet das, dass sie beide Vorgaben genau verstehen und in ihre Prozesse einbinden müssen, um rechtliche Unsicherheiten zu vermeiden.

Weiterführende Quellen und Literaturhinweise

Metzger, Datenschutz oder Datenzugang? Neuausrichtung des europäischen Datenrechts nach dem Data Act, NJW 2025, 2729.
Baumann/Brunnbauer, Datenschutzrechtliche Anforderungen bei der Bereitstellung von IoT-Daten nach dem Data Act, ZD 2025, 132.