Data Act und DSGVO: Definition und rechtliche Bedeutung (AI Act / Data Act)
Die Schnittstelle Data Act ↔ DSGVO regelt, wie die Datenzugangs-/Weitergabepflichten des Data Act und die Datenschutzvorschriften der DSGVO zusammenwirken. Grundsatz: der Data Act „erlaubt" Datenzugang/-weitergabe nicht — er setzt die DSGVO als Sperrklausel voraus. D.h., personenbezogene Daten unterliegen weiterhin der DSGVO; der Data Act ergänzt durch Pflichten (Datenzugang, FRAND, Switching) und Rechte (Datennutzer-Rechte), die DSGVO-konform ausgeführt werden müssen. Konkret: (1) Rechtsgrundlage — Dateninhaber/Datennutzer/Datenempfänger brauchen DSGVO-Rechtsgrundlage (Vertrag, Einwilligung, berechtigtes Interesse); (2) Betroffenenrechte — Auskunft, Berichtigung, Löschung bleiben voll anwendbar; (3) Auftragsverarbeitung — bei Datenweitergabe an Dritte (Art. 28); (4) DSFA bei hochriskanter Verarbeitung. Der Data Act ist kein DSGVO-Ersatz, sondern ein Daten-Wirtschaftsrecht, das DSGVO-konform operiert.
Steve Baka
Grundsatz: DSGVO als Sperrklausel
Grundsatz der Schnittstelle Data Act ↔ DSGVO: der Data Act „erlaubt" Datenzugang/-weitergabe nicht — er setzt die DSGVO als Sperrklausel voraus. Das bedeutet: personenbezogene Daten unterliegen weiterhin der DSGVO; die Data-Act-Pflichten (Datenzugang nach Art. 4–5, FRAND-Weitergabe nach Art. 9–11, Switching nach Art. 13–15) müssen DSGVO-konform ausgeführt werden. Konkret: der Dateninhaber (oft Verantwortlicher nach DSGVO) darf personenbezogene Daten nur dann weitergeben, wenn eine DSGVO-Rechtsgrundlage vorliegt (Vertrag Art. 6 Abs. 1 lit. b, Einwilligung lit. a, berechtigtes Interesse lit. f, gesetzliche Pflicht lit. c). Besondere Datenkategorien (Art. 9 DSGVO — Gesundheitsdaten, biometrische Daten zur Identifizierung) haben noch engere Voraussetzungen. Der Data Act schafft keine neue Rechtsgrundlage für die Datenverarbeitung.
DSGVO-Pflichten bei Datenweitergabe
DSGVO-Pflichten bei Datenweitergabe nach Data Act: (1) Rechtsgrundlage — Dateninhaber/Datennutzer/Datenempfänger brauchen je eigene DSGVO-Rechtsgrundlage für die jeweilige Verarbeitung (Zugang, Weitergabe, Empfang, Nutzung); (2) Betroffenenrechte — Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Beschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21) bleiben voll anwendbar; der Datenempfänger wird zum Verantwortlichen; (3) Auftragsverarbeitung (Art. 28) — bei Datenweitergabe im Auftrag (z. B. an Dienstleister); (4) Datenschutz-Folgenabschätzung (Art. 35) — bei hochriskanter Verarbeitung (z. B. umfassende Verhaltens-/Gesundheitsdatenweitergabe); (5) Verträge — klare Verantwortungsverteilung, Verarbeitungszweck-Begrenzung, Sicherheitsvorkehrungen; (6) Datensicherheit (Art. 32) — Verschlüsselung, Zugangskontrolle, Protokollierung. Über die DSGVO hinaus: Trade Secrets-Schutz (Art. 4 Abs. 3 Data Act).
Praxis: Konsolidierte Daten-/Datenschutz-Strategie
Praktisch erforderlich: eine konsolidierte Daten-/Datenschutz-Strategie, die Data Act + DSGVO + AI Act verknüpft. Schritte: (1) Dateninventar — welche Daten sind personenbezogen/besondere Kategorien? (2) Rechtsgrundlagen-Matrix — je Datenkategorie und Verarbeitungszweck; (3) Verträge — zwischen Dateninhaber, Datennutzer, Datenempfänger, Auftragsverarbeiter (Art. 28), klare Verantwortungsverteilung; (4) Betroffenen-Rechte-Prozesse — Anlaufstelle, Bearbeitung, Weiterleitung über mehrere Akteure; (5) DSFA bei hochriskanter Verarbeitung; (6) Datensicherheit — Verschlüsselung, Zugangskontrolle, Anonymisierung/Pseudonymisierung, wo möglich. Für KI-Anwendungen, die auf Data-Act-Daten aufbauen: AI Act kommt hinzu — Hochrisiko-Pflichten bei anwendbarer Einstufung, GPAI bei Foundation-Modellen. Aufsichtlich: Datenschutz-Aufsichten (DSK) und Datenzugangsbehörden (DE: BMWK) koordinieren; die Kommission veröffentlicht Leitlinien zur Vermeidung doppelter Anforderungen. Eine integrierte Compliance-Architektur ist Haftschutz und Wettbewerbsvorteil.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act.
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act.
European Data Protection Board (EDPB)EDPB. EU-Datenschutzgremium mit KI-Leitlinien.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act.
Cyber Resilience Act (VO (EU) 2024/2847) — EUR-LexAmtsblatt der Europäischen Union. Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).
Richtlinie (EU) 2022/2555 (NIS2) — EUR-LexAmtsblatt der Europäischen Union. IT-Sicherheitsanforderungen für kritische Sektoren.
Digital Services Act (VO (EU) 2022/2065) — EUR-LexAmtsblatt der Europäischen Union. Plattformregulierung; Schnittstelle zu KI-Systemen.
Data Governance Act (VO (EU) 2022/868) — EUR-LexAmtsblatt der Europäischen Union. Rahmen für Datenvermittlung und -weitergabe.
Vorschlag AI Liability Directive (COM(2022)496)Europäische Kommission. Haftung für KI-verursachte Schäden (Vorschlag; Stand prüfen).
Bundesamt für Sicherheit in der Informationstechnik (BSI)BSI. IT-Sicherheitsbehörde Deutschland.
Datenschutzkonferenz (DSK)DSK. Zusammenschluss der deutschen Datenschutz-Aufsichten.
Der Bundesbeauftragte für Datenschutz (BfDI)BfDI. Bundesdatenschutzbeauftragter Deutschland.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)EDÖB / FDPIC. Schweizer Datenschutzbehörde.
Häufige Fragen
Wie hängen Data Act und DSGVO zusammen?
Data Act „erlaubt" Datenzugang nicht — DSGVO ist Sperrklausel. Personenbezogene Daten unterliegen weiterhin DSGVO; Data Act ergänzt durch Pflichten/Rechte, die DSGVO-konform operieren.
Brauche ich eine DSGVO-Rechtsgrundlage für Data-Act-Weitergabe?
Ja. Dateninhaber/Datennutzer/Datenempfänger brauchen je eigene Rechtsgrundlage (Vertrag, Einwilligung, berechtigtes Interesse). Besondere Datenkategorien (Art. 9) engere Voraussetzungen.
Wie integriere ich das praktisch?
Dateninventar, Rechtsgrundlagen-Matrix, Verträge (Art. 28 Auftragsverarbeitung), Betroffenen-Rechte-Prozesse, DSFA, Datensicherheit. Plus AI Act bei KI-Anwendungen. Aufsichtlich: DSK + BMWK koordinieren.
Du willst EU AI Act und Data Act praktisch umsetzen?
Ich helfe dir, aus Konzepten, Pflichten, Use-Cases und Nachweisen ein Compliance-System zu bauen, das für Menschen verständlich und für Aufsichten nachvollziehbar ist.