Jusletter IT

Die Europäische Datenstrategie und das Datenschutzrecht

Das Verhältnis von Daten-Governance-Gesetz und Datengesetz zur DSGVO

  • Authors: Simone Salemi / Nils Wiedemann
  • Category of articles: Data Protection
  • Region: EU
  • Field of law: Data Protection
  • Collection: Conference proceedings IRIS 2023
  • DOI: 10.38023/3b10f668-126b-4394-816e-75931f1f66ff
  • Citation: Simone Salemi / Nils Wiedemann, Die Europäische Datenstrategie und das Datenschutzrecht, in: Jusletter IT 27 April 2023
Mit der Europäischen Datenstrategie verfolgt die Europäische Union das Ziel, die Datenwirtschaft im Europäischen Wirtschaftsraum zu reformieren. Diese Reform soll durch den Erlass verschiedener Rechtsakte erreicht werden. Konkret wurden mit dem Datengesetz und dem Daten-Governance-Gesetz inzwischen zwei Gesetzestexte vorgestellt. Beide unterscheiden in ihrem Anwendungsbereich nicht hinsichtlich eines Personenbezugs von Daten, weshalb sich ihre Vorgaben teils mit denen der Datenschutzgrundverordnung überschneiden. Das wirft Fragen hinsichtlich der Abgrenzung zueinander auf, die in diesem Beitrag untersucht werden soll.

Inhaltsverzeichnis

  • 1. Einleitung
  • 2. Zielsetzung der Gesetzesvorhaben
  • 2.1. Daten-Governance-Gesetz
  • 2.2. Datengesetz
  • 3. Das Verhältnis der Verordnungen zur DSGVO
  • 3.1. Daten-Governance-Gesetz und DSGVO
  • 3.1.1. Der personenbezogene Datenvermittlungsdienst zwischen DGG und DSGVO
  • 3.1.2. Die Weiterverwendung von Daten durch die öffentliche Hand
  • 3.2. Datengesetz und DSGVO
  • 3.2.1. Ergänzung des Rechts auf Datenübertragbarkeit nach Art. 20 DSGVO
  • 3.2.2. Dateninhaber bei gemeinsamer Verantwortlichkeit nach Art. 26 DSGVO
  • 3.2.3. Rechtsgrundlagen zur Datenverarbeitung
  • 4. Fazit

1.

Einleitung1 ^

[1]

Am 19. Februar 2020 stellte die Europäische Kommission erstmals die Europäische Datenstrategie vor.2 Mit dieser soll ein einheitlicher europäischer Datenraum – „ein echter Binnenmarkt für Daten“ – geschaffen werden, der eine gesteigerte Wertschöpfung von Daten für die Wirtschaft und die Gesellschaft ermöglichen soll.3 Mit dem Data Governance Act (deutsch: Daten-Governance-Gesetz)4 und dem Data Act (deutsch: Datengesetz)5 hat die Europäische Union bereits zwei Gesetzestexte im Rahmen der Europäischen Datenstrategie veröffentlicht, wobei das Daten-Governance-Gesetz bereits verabschiedet wurde.6 Der geplante Binnenmarkt für Daten soll aber neben nicht-personenbezogenen Daten, wie beispielsweise Industriedaten7, auch personenbezogene Daten umfassen.8 Dieser Umstand wird zu neuen Fragestellungen im Bereich des Datenschutzrechts führen: Da die Datenschutzgrundverordnung (nachfolgend: DSGVO)9 bereits weitreichende Regelungen für die Verarbeitung personenbezogener Daten trifft, sind naturgemäß Kollisionen zu erwarten. Diese sollen im vorliegenden Beitrag aufgezeigt und kritisch evaluiert werden.

2.

Zielsetzung der Gesetzesvorhaben ^

[2]

Das Daten-Governance-Gesetz und das Datengesetz sollen unterschiedliche Zielsetzungen der Europäischen Datenstrategie verwirklichen. Im Folgenden wird zunächst die Zielsetzung der jeweiligen Rechtsakte betrachtet und im Anschluss darauf aufbauend das Verhältnis zur DSGVO analysiert (siehe hierzu Punk 3).

2.1.

Daten-Governance-Gesetz ^

[3]

Das Daten-Governance-Gesetz (DGG) wurde im November 2020 als erster Gesetzgebungsentwurf im Rahmen der Europäischen Datenstrategie von der Europäischen Kommission vorgestellt.10 Es trat am 23.06.2022 in Kraft und wird nach Ablauf einer 15-monatigen Frist im September 2023 in allen Mitgliedstaaten der EU Anwendung finden. Das DGG ist trotz des missverständlichen Titels eine Verordnung im Sinne des Art. 288 Abs. 2 AEUV. Infolgedessen wird das DGG im September 2023 unmittelbare Wirkung in allen Mitgliedstaaten der EU entfalten11 und zusätzlich aufgrund des Anwendungsvorrangs des Rechts der Europäischen Union widersprechendes mitgliedstaatliches Recht verdrängen.12 Das zentrale Ziel des DGG besteht in der Förderung der Verfügbarkeit von Daten, um die gemeinsame Datennutzung in der Europäischen Union zu stärken.13 Letztlich soll mithilfe des DGG ein europäischer Datenraum geschaffen werden.14 Dafür sollen beispielsweise Daten, die mit öffentlichen Geldern generiert werden, auch der Gesellschaft zugutekommen15 (Kapitel II) und das Vertrauen in unabhängige Datenvermittlungsdienste gestärkt werden16 (Kapitel III). Art. 1 Abs. 1 DGG legt den Anwendungsbereich sowie den Gegenstand der Verordnung fest. Es werden Bedingungen für die Weiterverwendung von Daten bestimmter Kategorien geregelt, die sich im Besitz öffentlicher Stellen befinden (lit. a), ein Anmelde- und Aufsichtsrahmen für Datenvermittlungsdienste (lit b), ein Rahmen für die freiwillige Eintragung von Einrichtungen, die für altruistische Zwecke zur Verfügung gestellte Daten erheben und verarbeiten (lit. c) und ein Rahmen für die Einsetzung eines Europäischen Dateninnovationsrats (lit. d).17

2.2.

Datengesetz ^

[4]

Das Datengesetz wurde am 23. Februar 2022 von der Europäischen Kommission vorgestellt.18 Hierbei handelt es sich ebenfalls um eine Verordnung nach Art. 288 Abs. 2 AEUV, weshalb die Vorschriften des Datengesetzes unmittelbare Anwendung finden werden. Das Datengesetz soll mittels harmonisierter Vorschriften einen fairen Datenzugang sowie eine faire Datennutzung ermöglichen und beinhaltet als horizontaler Vorschlag sektorenübergreifende Vorschriften, die spezifisch ergänzt werden können.19 Es enthält neben Vorschriften zum Zugang der Nutzer zu den von ihren vernetzten Geräten erzeugten Daten auch Vorschriften, welche die Verhandlungsmacht von KMU bei der gemeinsamen Datennutzung stärken sollen und Behörden bei Vorliegen besonderer Umständen einen Zugang zu Daten im Besitz des Privatsektors ermöglichen.20 Darüber hinaus soll Kunden der Anbieterwechsel von Cloud-Datenverarbeitungsdiensten21 erleichtert werden.22 Das Regelungsziel des Datengesetzes wird in der bisher verfügbaren Literatur positiv, die konkrete Ausgestaltung dagegen teils sehr negativ bewertet.23 Es steht daher zu erwarten, dass sich die spezifischen Vorgaben im weiteren Verlauf des Gesetzgebungsverfahrens noch ändern werden, während der Kern des Vorschlags wohl in dieser Form in Kraft treten könnte.

3.

Das Verhältnis der Verordnungen zur DSGVO ^

[5]

Große Datensätze umfassen häufig sowohl personenbezogene als auch nicht-personenbezogene Daten. Für die Anwendung des Daten-Governance-Gesetzes und des Datengesetzes können daher aufgrund differierender Anforderungen an den Umgang mit personenbezogenen bzw. nicht-personenbezogenen Daten teils unterschiedliche Anforderungen innerhalb eines Vorgangs gelten. Angesichts der Sanktionsmöglichkeiten in Art. 31 DGG und Art. 33 DG-E, die teilweise sogar auf die hohen Geldstrafen der DSGVO verweisen, ist eine Bestimmung des rechtlichen Rahmens von großer praktischer Relevanz.

3.1.

Daten-Governance-Gesetz und DSGVO ^

[6]

Die sich überschneidenden Rechtsbereiche des Daten-Governance-Gesetzes und der DSGVO führen zu Kollisionen, die es aufzulösen gilt.24 Das DGG enthält in Art. 1 Abs. 3 DGG eine Regelung, die es für subsidiär gegenüber (sowohl unionsrechtlichen wie auch nationalen) Regelungen zum Schutz personenbezogener Daten erklärt. Die Regelungen der DSGVO sind daher vorrangig anzuwenden, soweit es bei der Erfüllung der Vorschriften des Daten-Governance-Gesetzes zu einer Verarbeitung personenbezogener Daten kommt.25

3.1.1.

Der personenbezogene Datenvermittlungsdienst zwischen DGG und DSGVO ^

[7]

Der Datenvermittlungsdienst ist in Art. 2 Nr. 11 DGG als „Dienst, der durch technische, rechtliche oder sonstige Mittel Geschäftsbeziehungen zwischen einer unbestimmten Anzahl von betroffenen Personen oder Dateninhabern einerseits und Datennutzern andererseits herstellt, um die gemeinsame Datennutzung, auch für die Zwecke der Ausübung der Rechte betroffener Personen in Bezug auf personenbezogene Daten, zu ermöglichen“. Die Definition des Datenvermittlungsdienstes ist sehr weitgehend: Es bedarf lediglich einer einfachen Hilfestellung zur Vernetzung von Dateninhabern einerseits und Datennutzern andererseits, weitere Funktionen muss ein Datenvermittlungsdienst nicht aufweisen.26 Ausnahmen von der Definition des Datenvermittlungsdienstes sind in Art. 2 Nr. 11 lit. a–d DGG geregelt. Mit den Regelungen zu Datenvermittlungsdiensten in den Art. 10 ff. DGG wurde im Daten-Governance-Gesetz ein bereits zuvor in der Literatur präsentes Thema aufgenommen: Schon in einem Gutachten der deutschen Daten-Ethik-Kommission aus dem Jahr 2019 wurde die Thematik rund um die Datentreuhand und den Datenmittler diskutiert und als vielversprechender Lösungsansatz zum Schutz der informationellen Selbstbestimmung einzelner Personen angesehen.27 So soll die „Fremdverwaltung“ durch einen Datentreuhänder mit der Unterstützung betroffener Personen bei der Ausübung und Geltendmachung ihrer Rechte nach der DSGVO einhergehen.28 Seitdem wurde die Idee einer zwischen betroffenen Personen und Verantwortlichen geschalteten Institution in der juristischen Literatur immer wieder diskutiert.29 In den letzten Monaten – spätestens seit dem Inkrafttreten des TTDSG im Dezember 2021 – wurden in diesem Zusammenhang insbesondere Personal Information Management Systems (PIMS) diskutiert30, welche beispielsweise als Einwilligungsmanagementsystem verwendet werden können.31

[8]

Nun hält das Konzept mit den Art. 10 ff. DGG auch Einzug in die europäische Gesetzgebung. Das Kapitel III dient laut ErwG 32 dem Zweck, einen Rechtsrahmen für Datenvermittlungsdienste zu schaffen und trägt den Titel „Anforderungen an Datenvermittlungsdienste“. Datenvermittlungsdienste unterliegen zumindest zum Teil einer Anmeldepflicht bei der zuständigen Behörde gemäß Art. 11 DGG, ferner werden in Art. 12 DGG verschiedene Anforderungen an diese formuliert. Welche Dienste hierzu verpflichtet sind, ergibt sich indes aus Art. 10 DGG. Ein besonderes Augenmerk wird an dieser Stelle auf Art. 10 lit. b DGG gelegt, der „personenbezogene Datenvermittlungsdienste“ erfasst, also solche „Vermittlungsdienste, die zwischen betroffenen Personen [...] und potenziellen Datennutzern [vermitteln], einschließlich [der] Bereitstellung der technischen oder sonstigen Mittel als Voraussetzung dieser Dienste, sowie insbesondere [der] Ermöglichung der Ausübung der in [der DSGVO] verankerten Rechte betroffener Personen“. In Erwägungsgrund 30 zum Daten-Governance-Gesetz werden solche Dienste als besondere Kategorie von Datenvermittlungsdiensten bezeichnet, da deren Funktion nicht nur in der „einfachen“ Vernetzung von betroffenen Personen und Verantwortlichen besteht, sondern sie insbesondere auch bei der Geltendmachung von Betroffenenrechten im Sinne der Art. 15 ff. DSGVO unterstützen sollen. Neben dem Daten-Governance-Gesetz findet bei personenbezogenen Datenvermittlungsdiensten auch die DSGVO Anwendung, da diese „unberührt“ bleibt, Erwägungsgrund 35 zum DGG.32 Dieser Umstand sorgt nicht nur dafür, dass eine Reihe von Vorschriften für personenbezogene Datenvermittlungsdienste zu beachten sind. Sowohl für die Übermittlung zum Datenvermittlungsdienst, für die Verarbeitung von Daten durch den Datenvermittlungsdienst und auch für die Übermittlung von Daten zum Datennutzer muss eine Rechtsgrundlage der DSGVO vorliegen; darüber hinaus gelten auch die Grundsätze der Datenverarbeitung gemäß Art. 5 DSGVO, wie etwa der Zweckbindungsgrundsatz.33 Neben diesen sich aus der DSGVO ergebenden Voraussetzungen könnten nun die Anforderungen des Art. 12 DGG an Datenvermittlungsdienste, wie beispielsweise die Pflicht zur Transparenz und Diskriminierungsfreiheit (Art. 12 Abs. 1 lit. f)34 treten. Jedoch darf aufgrund der Subsidiarität des DGG zur DSGVO schon grundsätzlich die Anwendbarkeit des Art. 12 DGG durchaus bezweifelt werden.35 Sofern man annimmt, Art. 12 DGG finde keine Anwendung auf den personenbezogenen Datenintermediär36, formuliert das DGG keine über die DSGVO hinausgehenden Anforderungen. Zwar finden sich in ErwG 30 Anregungen dazu, wie ein personenbezogener Datenvermittlungsdienst zu gestalten sei, beispielsweise unter Einrichtung eines persönlichen Datenraums, allerdings handelt es sich auch hierbei lediglich um Empfehlungen. Dies ist nicht zuletzt an der grundsätzlich im Konjunktiv gehaltenen Formulierung, angereichert mit Begriffen wie „wünschenswert“, zu erkennen.37

[9]

Folgt man hingegen der anderen Ansicht und wendet Art. 12 DGG auf personenbezogene Datenvermittlungsdienste an, könnte dessen Buchstabe a) zu einer über Art. 5 DSGVO hinausgehende Zweckbindung führen.38

[10]

Letztlich lässt sich jedoch, unabhängig von der jeweiligen Ansicht, festhalten, dass das DGG es nicht vermag, bereits im Vorhinein bestehende und grundlegende Probleme zu lösen. Aufgrund der sehr weitgehenden Vorgaben der DSGVO fehlt es schlichtweg an Anreizen für den Einsatz eines Datentreuhänders, der mit personenbezogenen Daten arbeitet.39 Durch das DGG wird dieses Problem mangels materiell-rechtlicher Erleichterungen gegenüber der DSGVO nicht gelöst.40 Mit der je nach Auffassung anzunehmenden zusätzlichen Auferlegung von weitgehenden Anforderungen nach Art. 12 DGG schafft das DGG keinen angemessenen Rahmen für Datenvermittlungsdienste. Das Problem fehlender Anreize sowie der „Überregulierung“ durch die DSGVO besteht weiterhin.

3.1.2.

Die Weiterverwendung von Daten durch die öffentliche Hand ^

[11]

Auch wenn die Diskussion um die Regulierung der Anforderungen an Datenvermittlungsdienste innerhalb des DGG häufig im Fokus stand, enthält die Verordnung noch andere (durchaus diskutable) Regelungen, die es zu betrachten gilt. Hierzu gehört insbesondere das zweite Kapitel des DGG, welches darauf abzielt, die Weiterverwendung bestimmter Kategorien von Daten im Besitz öffentlicher Stellen zu regulieren. Dieses Kapitel des DGG dient ebenfalls dem Ziel, die Verfügbarkeit von Daten zur (gemeinsamen) Nutzung erhöhen.41 Laut Erwägungsgrund 6 zum DGG sollen Daten, die von öffentlichen Stellen oder sonstigen Einrichtungen mithilfe öffentlicher Gelder generiert oder erhoben wurden, der Gesellschaft zugutekommen. Die Regelungen in Kapitel II des DGG ergänzen die sogenannte „Open-Data-Richtlinie“42 der Europäischen Union, indem die Weiterverwendung von Daten geregelt wird, an denen Rechte Dritter bestehen.43 Auch bezüglich der Regelungen zur Weiterverwendung von Daten führt das unklare Verhältnis zur DSGVO zu Schwierigkeiten bei der Rechtsanwendung. In einer Stellungnahme der Verbraucherzentrale Bundesverband aus dem Januar 2021 wurde der Mehrwert der Normen hinsichtlich der Weiterverwendung personenbezogener Daten angezweifelt.44 So seien die Normen des DGG nicht nur überflüssig, weil die konkret geplanten Verarbeitungen auch auf Grundlage der DSGVO durchführbar seien; sie führten auch zu einem nicht hinnehmbaren Verstoß gegen datenschutzrechtliche Grundprinzipien.45 Die Anwendung des DGG hätte laut vzbv zur Folge, dass öffentliche Stellen künftig zu begründen hätten, wieso sie personenbezogene Daten nicht weitergeben.46 Ferner wird in der Literatur insbesondere der Mangel an materiell-rechtlichen Regelungen im zweiten Kapitel des DGG kritisiert.47 Ohne materiell-rechtliche Regelungen scheint eine europaweite Harmonisierung der Weiterverwendung von Daten in der öffentlichen Hand kaum vorstellbar. Da inhaltliche Regelungen weiterhin den Mitgliedstaaten überlassen werden – allerdings ohne diese zur Einführung von Regelungen zu verpflichten – handelt es sich beim DGG zwar um einen Anreiz. Das eigentliche Ziel, die gemeinsame Datennutzung zu fördern, ist durch diese nicht obligatorischen Bestimmungen jedoch wohl kaum zu erreichen.48

3.2.

Datengesetz und DSGVO ^

[12]

Die Bereitstellung von Daten im privaten Bereich stellt das Herzstück des Datengesetzes dar, weshalb sich dieser Abschnitt des Beitrags auf die Darstellung dieser Bereitstellung beschränkt. Die Bereitstellung umfasst Daten, die bei der Nutzung eines physischen49 Produkts oder eines damit verbundenen Dienstes erzeugt werden, Art. 1 Abs. 1, Art. 2 Nr. 2, Nr. 3 DG-E.50 Regelungsgegenstand sind also bei der Nutzung von Produkten des sogenannten „Internets der Dinge“ erzeugte Daten.51 Das Datengesetz unterscheidet in seiner Begriffsbestimmung in Art. 2 Nr. 1 DG-E nicht hinsichtlich eines Personenbezugs von Daten, weshalb es auch auf personenbezogene Daten Anwendung findet und sich mit der DSGVO überschneidet.

[13]

Das Datengesetz regelt das Verhältnis zum Datenschutzrecht in Art. 1 Abs. 3 DG-E. Nach Art. 1 Abs. 3 Satz 1 DG-E wird die Anwendbarkeit der Vorschriften über den Schutz personenbezogener Daten, insbesondere der DSGVO, durch das Datengesetz nicht berührt. Erwägungsgrund 7 Satz 4 DG-E wiederholt diese Aussage und führt aus, dass das Datengesetz das Unionsrecht zum Datenschutz ergänzt, wobei Erwägungsgrund 7 Satz 5 DG-E festhält, dass keine Bestimmung des Datengesetzes so angewandt oder ausgelegt werden sollte, dass das Recht auf Schutz personenbezogener Daten geschwächt oder eingeschränkt wird. Sofern der Datensatz neben personenbezogenen Daten auch nicht-personenbezogene Daten umfasst, unterliegt nach Erwägungsgrund 30 Satz 2 DG-E die Verarbeitung nicht-personenbezogener Daten ebenfalls den Vorschriften der DSGVO, soweit die personenbezogenen und nicht-personenbezogenen Daten untrennbar miteinander in einem Datensatz verbunden sind. Der Entwurf verweist dabei auf die Verordnung über den freien Verkehr von nicht-personenbezogenen Daten52, die eine entsprechende Regelung in Art. 2 Abs. 2 enthält.

[14]

Damit dürfte die Abgrenzung von Daten hinsichtlich ihres Personenbezugs aufgrund der neuen Regelungen des Datengesetzes erheblich an Bedeutung gewinnen, da die bisher gängige Praxis, bei Daten im Zweifelsfall einen Personenbezug anzunehmen, mit den neuen Vorschriften des Datengesetzes nicht vereinbar sein und Bußgelder nach Art. 33 Abs. 3 DG-E mit sich bringen könnte.53

[15]

Das Datenschutzrecht ist also vorrangig anzuwenden und wird durch das Datengesetz lediglich ergänzt, sofern die gegenständlichen Daten einen Personenbezug aufweisen oder sofern nicht-personenbezogene Daten mit personenbezogenen untrennbar in einem Datensatz verbunden sind.

3.2.1.

Ergänzung des Rechts auf Datenübertragbarkeit nach Art. 20 DSGVO ^

[16]

Die Ergänzung der DSGVO durch das Datengesetz hat bedeutende Auswirkungen auf das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO. Art. 20 Abs. 1 Halbsatz 1 DSGVO verleiht der betroffenen Person das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Darüber hinaus hat die betroffene Person nach Halbsatz 2 das Recht, diese Daten einem anderen Verantwortlichen zu übermitteln, sofern die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht oder diese mithilfe automatisierter Verarbeitung erfolgt. Das Datengesetz bestimmt in Art. 4 Abs. 1 DG-E hingegen, dass der Dateninhaber dem Nutzer die bei der Nutzung eines Produktes oder verbundenen Dienstes erzeugten Daten unverzüglich, kostenlos und ggf. kontinuierlich und in Echtzeit zur Verfügung stellt, soweit der Nutzer nicht direkt vom Produkt aus auf die Daten zugreifen kann und diese Bereitstellung verlangt. Das kann nach Art. 5 Abs. 1 DG-E auf Antrag des Nutzers oder einer in dessen Namen handelnden Partei auch an einen Dritten auf diese Weise erfolgen.

[17]

Die Rechte des Nutzers aus Art. 4 Abs. 1, Art. 5 Abs. 1 DG-E sind umfassender als die Rechte aus Art. 20 Abs. 1 DSGVO. Der Nutzer erhält durch das Datengesetz nicht nur eine einmalige Momentaufnahme der bereits gesammelten Daten, sondern unter Umständen einen kontinuierlichen Zugang zu den Daten, der gegebenenfalls sogar in Echtzeit zu erfolgen hat.54 Zudem setzt Art. 4 DG-E nicht voraus, dass die Daten vom Rechteinhaber selbst bereitgestellt wurden, sodass auch eine passive Erzeugung von Daten umfasst wird.55 Ferner entfallen weitgehend die Anforderungen für die Weitergabe der Daten an einen Dritten, der aber im Gegensatz zum Nutzer nach Art. 5 Abs. 1, Art. 9 DG-E, Erwägungsgrund 31 Satz 8, eine angemessene Vergütung an den Dateninhaber zu leisten hat.

[18]

Eine isolierte Anwendung des Art. 1 Abs. 3 Satz 1 DG-E würde dazu führen, dass die DSGVO die Rechte aus Art. 4 Abs. 1, Art. 5 Abs. 1 DG-E beschränken und die betroffene Person einen umfassenderen Zugang zu ihren nicht-personenbezogenen als zu ihren personenbezogenen Daten erhalten würde. Das Datengesetz bestimmt daher in Art. 1 Abs. 3 Satz 3 DG-E, dass – soweit die in Kapitel 2 (Art. 3 – 7 DG-E) des Datengesetzes festgelegten Rechte betroffen sind und es sich bei den Nutzern um von der Verarbeitung personenbezogener Daten betroffene Personen handelt – die Bestimmungen des Datengesetzes das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO ergänzen. Die Wirkungsweise dieser Ergänzung wird in Erwägungsgrund 31 Satz 6 DG-E erläutert. Danach gewährt das Datengesetz den Nutzern das Recht auf Zugang und darauf, einem Dritten alle Daten bereitzustellen, die bei der Nutzung eines Produktes oder eines verbundenen Dienstes erzeugt werden. Dies gilt unabhängig davon, ob es sich um personenbezogene Daten handelt, von der Unterscheidung zwischen aktiv bereitgestellten oder passiv aufgezeichneten Daten und von der Rechtsgrundlage für die Verarbeitung. Die Übertragung ist auch nicht an eine technische Machbarkeit nach Art. 20 Abs. 2 DSGVO gebunden, da das Datengesetz diese nach Erwägungsgrund 31 Satz 7 DG-E bereits vorschreibt und gewährleistet, womit wohl die Vorgaben nach Art. 3 Abs. 1 DG-E gemeint sein dürften. Nach den Vorschriften des Datengesetzes ist nicht ersichtlich, ob die Bereitstellung wie nach Art. 20 DSGVO in einem strukturierten, gängigen und maschinenlesbaren Format erfolgen soll. Allerdings dürfte sich diese Pflicht nach den Erwägungsgründen 7, 31 DG-E wiederum aus Art. 20 DSGVO selbst ergeben, da dieser nicht unterlaufen werden soll.

[19]

Das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO wird im Anwendungsbereich des Datengesetzes also nicht nur einfach ergänzt, sondern umfassend modifiziert. Es verringert die Voraussetzungen für die Geltendmachung unter gleichzeitiger Erweiterung des Umfangs.56 Diese aus Sicht der betroffenen Person begrüßenswerte Ergänzung weist in ihrer Umsetzung allerdings einige Schwächen auf. Das Datengesetz enthält hierdurch eine speziellere Regelung als die eigentlich für personenbezogene Daten vorrangige DSGVO, obwohl es einen horizontalen Ansatz verfolgen soll. Zudem muss die betroffene Person nicht nur erkennen, ob der Anwendungsbereich des Datengesetzes tatsächlich eröffnet ist, sondern muss dazu noch über die Anwendung des Datengesetzes und mithilfe der Erwägungsgründe die Wirkung der Ergänzung des Art. 20 DSGVO nachvollziehen. Dabei war neben der fehlenden Kenntnis von Art. 20 DSGVO gerade die schwierige Verständlichkeit des Rechts bisher ein Grund, weshalb das Recht nicht die erwartete praktische Bedeutung gefunden hat.57 Es erscheint unwahrscheinlich, dass sich dieser Umstand durch ein solch komplexes Konstrukt wirklich ändern könnte. Eine Neufassung oder eine entsprechende Anpassung des Art. 20 DSGVO an die Vorschriften des Datengesetzes wäre sowohl für eine einfachere Rechtsanwendung als auch für eine bessere Verständlichkeit sinnvoll. Darüber hinaus werden Art. 4 ff. DG-E mangels weitreichender Interoperabilitätsverpflichtungen für Dateninhaber wohl denselben praktischen Problemen wie Art. 20 DSGVO begegnen.58

3.2.2.

Dateninhaber bei gemeinsamer Verantwortlichkeit nach Art. 26 DSGVO ^

[20]

Die unterschiedlichen Anknüpfungspunkte der Begriffsbestimmungen des Verantwortlichen nach der DSGVO und des Dateninhabers nach dem Datengesetz könnten im Falle einer gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO zu ungewollten Folgen führen. Verantwortlicher ist nach Art. 4 Nr. 7 Halbsatz 1 DSGVO, wer allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Zwei oder mehr Verantwortliche sind dabei nach Art. 26 Abs. 1 Satz 1 DSGVO gemeinsam Verantwortliche, wenn sie gemeinsam die Zwecke und Mittel der Verarbeitung festlegen. Nach der Rechtsprechung des EuGH ist dabei für eine gemeinsame Verantwortlichkeit unerheblich, ob der Verantwortliche auch tatsächlichen Zugang zu den personenbezogenen Daten hat und ein Einfluss auf die Verarbeitung kann bereits ausreichend sein.59 Allerdings ist eine natürliche oder juristische Person für vor- oder nachgelagerte Vorgänge in einer Verarbeitungskette, für die sie weder Zweck noch Mittel festlegt, nicht verantwortlich.60 Dateninhaber ist hingegen nach Art. 2 Nr. 6 DG-E eine juristische oder natürliche Person, die rechtlich zur Umsetzung nach Unionsrecht oder nationalem Recht berechtigt oder verpflichtet bzw. im Falle nicht-personenbezogener Daten und durch die Kontrolle über die technische Konzeption des Produktes und damit verbundener Dienste in der Lage ist, bestimmte Daten bereitzustellen. Eine gemeinsame Dateninhaberschaft kennt das Datengesetz nicht.

[21]

Die Begriffsbestimmung des Dateninhabers wird kritisch beurteilt, da sie praktisch schwierig umsetzbar61 und in ihrem Anwendungsbereich äußerst beschränkt sei, dadurch dass es entscheidend auf das Merkmal der „faktischen Kontrolle“ über Konzeption des Produkts und Kontrolle über die Daten ankomme.62 Nach Erwägungsgrund 24 Satz 1, 2 DG-E sollte, soweit bei der Bereitstellung personenbezogene Daten verarbeitet werden, der Dateninhaber auch Verantwortlicher im Sinne der DSGVO sein. Allerdings ist nicht ersichtlich, ob (gemeinsam) Verantwortliche zugleich auch Dateninhaber im Sinne des Datengesetzes sein sollen. Sofern man auf die technisch-faktische Kontrolle über die Daten als entscheidendes Merkmal abstellt, ist angesichts der verschiedenen Bezugspunkte der Begriffsbestimmungen denkbar, dass im Einzelfall nicht alle gemeinsam Verantwortlichen zugleich auch Dateninhaber im Sinne des Datengesetzes sind, weil diese nicht notwendigerweise einen tatsächlichen Zugriff auf die personenbezogenen Daten haben müssen.

[22]

Die Möglichkeit des Betroffenen nach Art. 26 Abs. 3 DSGVO, seine Rechte gegenüber jedem Verantwortlichen geltend zu machen, könnte sich dabei als problematisch erweisen. Die Geltendmachung von Art. 20 DSGVO könnte im Einzelfall zu unterschiedlichen Ergebnissen führen, da nur bei einem Verantwortlichen, der zugleich auch Dateninhaber ist, das Recht aus Art. 20 DSGVO durch das Datengesetz ergänzt wird. Zumindest mittelbar könnte das den Regelungszweck des Art. 26 Abs. 3 DSGVO unterlaufen63, da die betroffene Person nur bei bestimmten Verantwortlichen ihre Rechte vollumfassend durchsetzen könnte, was faktisch einer Beschränkung des Rechts entsprechen würde. Andererseits wird Art. 20 DSGVO durch das Datengesetz lediglich ergänzt, weshalb die betroffene Person aus isolierter Sicht der DSGVO nicht schlechter gestellt wird. Um diese Problematik zu umgehen, könnte zudem argumentiert werden, dass gemeinsam Verantwortliche aufgrund ihrer rechtlichen Verpflichtungen nach der DSGVO unabhängig von ihrer technisch-faktischen Kontrolle auch Dateninhaber im Sinne des Datengesetzes sind oder dass die Verantwortlichkeit nur so weit reichen kann, wie der Verantwortliche auch tatsächlich Dateninhaber ist. Ebenso könnte das Datengesetz um eine gemeinsame Dateninhaberschaft erweitert oder die Öffnungsklausel des Art. 4 Nr. 7 Hs. 2 DSGVO genutzt werden, um einen Dateninhaber als Verantwortlichen im Sinne der DSGVO zu bestimmen.

3.2.3.

Rechtsgrundlagen zur Datenverarbeitung ^

[23]

Weitere Schwierigkeiten ergeben sich hinsichtlich der Rechtsgrundlagen zur Datenverarbeitung. Art. 4 Abs. 6 DG-E bestimmt, dass die Verarbeitung von nicht-personenbezogenen Daten nur aufgrund eines Vertrages erfolgen darf. Erwägungsgrund 24 Satz 3 DG-E stellt dabei klar, dass hiermit keine weitere Rechtsgrundlage nach der DSGVO geschaffen wird. Vielmehr bedarf es neben der Rechtsgrundlage des Vertrages für nicht-personenbezogene Daten nach Art. 4 Abs. 6 DG-E einer weiteren Rechtsgrundlage nach der DSGVO für die Verarbeitung von personenbezogenen Daten.64 Diese Rechtsgrundlage kann jedoch nach Art. 6 Abs. 1 UAbs. 1 lit. b) DSGVO ebenfalls in einem Vertrag bestehen, weshalb in der Praxis die Verträge meist zusammengefasst werden könnten.65 Das ist allerdings nicht möglich, wenn es sich bei den verarbeiteten Daten um sensible personenbezogene Daten nach Art. 9 Abs. 1 DSGVO handelt, da der Vertrag allein keine Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO darstellt. Aufgrund der Anwendung der DSGVO auf nicht-personenbezogene Daten, die untrennbar mit sensiblen personenbezogenen Daten nach Art. 9 Abs. 1 DSGVO verbunden sind, wird für diese ebenfalls eine Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO erforderlich sein. Das hätte beispielsweise Auswirkungen auf die notwendigen Informationen zur Einholung einer wirksamen Einwilligung nach Art. 9 Abs. 2 lit. a) DSGVO, da auch über die Verarbeitung der nicht-personenbezogenen Daten hinreichend aufgeklärt werden müsste.66

4.

Fazit ^

[24]

Mit dem Daten-Governance-Gesetz verfolgt der europäische Gesetzgeber das Ziel, die gemeinsame Datennutzung innerhalb der Europäischen Union zu fördern und trifft zur Umsetzung verschiedene Regelungen. Bereits die Bezeichnung „Gesetz“ sorgt dabei allerdings für Verwirrung. Obwohl es sich um eine Verordnung im Sinne des Art. 288 Abs. 2 AEUV handelt, wird der Rechtsakt als „Act“ (englisch) bzw. als „Gesetz“ bezeichnet. Die Konfusion nimmt allerdings nicht ab, wenn man sich die Regelungen des DGG ansieht: Zwar dienen alle dem übergeordneten Ziel, die gemeinsame Datennutzung in der Union zu stärken, jedoch handelt es sich um Normen mit völlig unterschiedlichen Regelungsansätzen. Abgesehen von der Frage, inwiefern die gemeinsame Regelung innerhalb eines Gesetzes zu empfehlen ist, ist auch die Praxistauglichkeit der Normen (zumindest teilweise) zweifelhaft. Die Intention, einen Rechtsrahmen für Datenvermittlungsdienste zu schaffen, ist zwar grundsätzlich nicht zu beanstanden, allerdings ist dies im Rahmen des DGG nicht wirklich gelungen. Anreize zur Nutzung von Datenvermittlungsdienste wurden nicht geschaffen; ganz im Gegenteil. Selbst für Datenvermittlungsdienste, die nicht mit personenbezogenen Daten arbeiten, wurden mit dem DGG neue und sehr hohe Hürden eingeführt. Ferner sorgt das unklare Verhältnis zur DSGVO für Schwierigkeiten bei der Rechtsanwendung. Beispielsweise ist fraglich, ob die Regelungen bezüglich der Anforderungen an Datenvermittlungsdienste Anwendung auf Dienste finden, die mit personenbezogenen Daten arbeiten. Unabhängig davon, ob man die Anwendbarkeit bejahen möchte oder nicht: Ein angemessener Rechtsrahmen für Datenvermittlungsdienste wurde nicht geschaffen. Ebenso sind auch die Regelungen bezüglich der Weiterverwendung geschützter Daten durch die öffentliche Hand nicht gelungen. Auch hier wirft das Verhältnis zur DSGVO Fragen auf, ebenso stellt sich die Frage nach dem Mehrwert des Kapitels III. Schlussendlich lässt sich also sagen, dass hinsichtlich der Konzeption des DGG Verbesserungsbedarf besteht.

[25]

Das Datengesetz könnte zu einer größeren Bedeutung des Rechts auf Datenübertragbarkeit nach Art. 20 DSGVO führen. Der aktuelle Entwurf des Datengesetzes leidet jedoch erheblich darunter, dass die Anpassungen nicht innerhalb der DSGVO vorgenommen wurden. Neben der dogmatisch fragwürdigen Umsetzung einer spezielleren Vorschrift in einem horizontalen Gesetzeswerk schadet dieses unnötig komplexe Konstrukt der Verständlichkeit und erschwert die praktische Rechtsanwendung. Darüber hinaus entstehen vermeidbare Folgeprobleme, die teils noch nicht absehbar sind und in der Zukunft weitere Fragen aufwerfen dürften. Es wäre daher zu begrüßen, wenn im weiteren Verlauf des Gesetzgebungsverfahrens die Auswirkungen des Datengesetzes auf die DSGVO angemessen berücksichtigt werden. Dies würde nicht nur die Rechtsanwendung erleichtern, sondern auch die Anzahl der zu erwartenden Verfahren beim EuGH deutlich verringern.

  1. 1 Der Beitrag ist durch das vom BMBF geförderte Projekt WearPrivate (Förderkennzeichen 16KIS1512) inspiriert.
  2. 2 Mitteilung der Kommission über die europäische Datenstrategie https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:52020DC0066&from=DE, alle Links wurden zuletzt am 15.10.2022 abgerufen, 2020.
  3. 3 Mitteilung der Kommission über die europäische Datenstrategie, https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:52020DC0066&from=DE, 2020.
  4. 4 Verordnung (EU) 2022/868 des Europäischen Parlaments und des Rates vom 30. Mai 2022 über die europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724 (Daten-Governance-Gesetz), ABl L 152/1v. 03.06.2022.
  5. 5 Europäische Kommission, Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung (Datengesetz), COM(2022) 68 final.
  6. 6 Europäische Kommission, Pressemitteilung zum Datengesetz, https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy_de#europisches-datengesetz, 2022.
  7. 7 „Internet of Things (IOT)“-Daten aus dem industriellen Umfeld.
  8. 8 Europäische Kommission, COM(2020) 66 final.
  9. 9 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl L119/1 vom 04.05.2016.
  10. 10 Europäische Kommission, Pressemitteilung, zum Daten-Governance-Gesetz, https://ec.europa.eu/commission/presscorner/detail/de/ip_21_6428, 2021.
  11. 11 Siehe hierzu: Nettesheim in: Grabitz/Hilf/Nettesheim, Das Recht der Europäischen Union, 76. Ergänzungslieferung Mai 2022, Art. 288 AEUV Rn. 89.
  12. 12 Ruffert in: Calliess/Ruffert, EUV/AEUV Kommentar, 6. Auflage 2022, Art. 1 AEUV Rn. 18.
  13. 13 Tolks, Daniel, Die finale Fassung des Data Governance Act, MMR 2022, 444 (444).
  14. 14 Schildbach, Roman, Zugang zu Daten der öffentlichen Hand und Datenaltruismus nach dem Entwurf des Daten-Governance-Gesetzes, ZD 2022, 148 (149) unter Verweis auf: COM(2020) 66 final, 5.
  15. 15 ErwG 6 zum Daten-Governance-Gesetz.
  16. 16 Tolks, Daniel, Die finale Fassung des Data Governance Act, MMR 2022, 444 (444, 446 f.).
  17. 17 Siehe hierzu Punkt 3.1.1 und Punkt 3.1.2.
  18. 18 Europäische Kommission, Pressemitteilung zum Datengesetz, https://ec.europa.eu/commission/presscorner/detail/de/ip_22_1113; 2022.
  19. 19 Europäische Kommission, COM(2022) 68 final, S. 1, 6; kritisch Specht-Riemenschneider, Louisa, Data Act – Auf dem (Holz-)Weg zu mehr Dateninnovation?, ZRP 2022, 137; Der Entwurf des Data Act: Ein großer Wurf in die falsche Richtung? GRUR 2022, 937 (938).
  20. 20 Europäische Kommission, Pressemitteilung zum Datengesetz, https://ec.europa.eu/commission/presscorner/detail/de/ip_22_1113; 2022.
  21. 21 Wie beispielsweise von Amazon (AWS) oder Microsoft (Azure).
  22. 22 Europäische Kommission, Pressemitteilung zum Datengesetz, https://ec.europa.eu/commission/presscorner/detail/de/ip_22_1113; 2022.
  23. 23 Stellungnahme des Max-Planck-Institut für Innovation und Wettbewerb vom 25.05.2022: https://www.ip.mpg.de/de/forschung/meldungen-aus-der-forschung/stellungnahme-zum-datengesetz-data-act-der-eu.html; Stellungnahme des Bundesverband der Energie und Wasserwirtschaft e.V. vom 28. Juli 2022: https://www.bdew.de/media/documents/Stn_20220728_Data-Act.pdf; Stellungnahme Bitkom vom 19. April 2022: https://www.bitkom.org/sites/main/files/2022-04/2204-Bitkom-DataAct-PositionPaper-long.pdf.
  24. 24 Schildbach, Roman, Zugang zu Daten der öffentlichen Hand und Datenaltruismus nach dem Entwurf des Daten-Governance-Gesetzes, ZD 2022, 148 (149).
  25. 25 Tolks, Daniel, Die finale Fassung des Data Governance Act, MMR 2022, 444 (444).
  26. 26 Hennemann, Moritz/von Ditfurth, Lukas, Datenintermediäre und Data Governance Act, NJW 2022, 1905 (1908).
  27. 27 Datenethikkommission der Bundesregierung, Bundesministerium des Innern, für Bau und Heimat, Gutachten der Datenethikkommission der Bundesregierung, Berlin, Oktober 2019, abrufbar unter: https://www.bmi.bund.de/SharedDocs/downloads/DE/publikationen/themen/it-digitalpolitik/gutachten-datenethikkommission.pdf?__blob=publicationFile&v=6, S. 133 ff.
  28. 28 Ibid, S. 133.
  29. 29 Siehe hierzu nur: Wendehorst, Christiane/Schwamberger, Sebastian/Grinzinger, Julia, Datentreuhand– wie hilfreich sind sachenrechtliche Konzepte? in: Pertot, Tereza (Hrsg.), Rechte an Daten, 1. Auflage, Tübingen 2020, S. S. 103; Specht-Riemenschneider, Louisa/Blankertz, Aline/Sierek, Pascal/Schneider, Ruben/Knapp, Jakob/Henne, Theresa, Die Datentreuhand, MMR-Beilage 2021, 25; Beise, Clara, Datensouveränität und Datentreuhand, RDi 2021, 597.
  30. 30 Salemi, Simone, Chancen und Risiken von PIMS nach § 26 TTDSG, DuD 8/2022, 505 (505 ff.); Botta, Jonas, Delegierte Selbstbestimmung? MMR 2021, 946 (946 ff.).
  31. 31 Salemi, Simone, aaO.
  32. 32 Specht-Riemenschneider, Louisa/Blankertz, Aline/Sierek, Pascal/Schneider, Ruben/Knapp, Jakob/Henne, Theresa, Die Datentreuhand, MMR-Beilage 2021, 25 (37).
  33. 33 Ibid, 37 ff.
  34. 34 Hennemann, Moritz/von Ditfurth, Lukas, Datenintermediäre und Data Governance Act, NJW 2022, 1905 (1909).
  35. 35 Dazu: Spindler, Gerald, Schritte zur europaweiten Datenwirtschaft – der Vorschlag einer Verordnung zur europäischen Data Governance, CR 2021, 98 (104 Rn. 28); Kühling, Jürgen, Der datenschutzrechtliche Rahmen für Datentreuhänder, DuD 12/2021, 783 (787).
  36. 36 So etwa: Spindler, Gerald, Schritte zur europaweiten Datenwirtschaft – der Vorschlag einer Verordnung zur europäischen Data Governance, CR 2021, 98 (104 Rn. 28).
  37. 37 Spindler, Gerald, aaO.
  38. 38 Kühling, Jürgen, Der datenschutzrechtliche Rahmen für Datentreuhänder, DuD 12/2021, 783 (787); Richter, Heiko, Europäisches Datenprivatrecht: Lehren aus dem Kommissionsvorschlag für eine „Verordnung über europäische Daten-Governance“, ZEuP 2021, 634 (655).
  39. 39 Specht-Riemenschneider, Louisa/Blankertz, Aline/Sierek, Pascal/Schneider, Ruben/Knapp, Jakob/Henne, Theresa, Die Datentreuhand, MMR-Beilage 2021, 25 (32); Hornung, Gerrit/Schomberg, Sabrina, Datensouveränität im Spannungsfeld zwischen Datenschutz und Datennutzung: das Beispiel des Data Governance Acts, CR 2022, 508 (514 Rn. 33).
  40. 40 Specht-Riemenschneider, Louisa/Blankertz, Aline/Sierek, Pascal/Schneider, Ruben/Knapp, Jakob/Henne, Theresa, Die Datentreuhand, MMR-Beilage 2021, 25 (32); Hornung, Gerrit/Schomberg, Sabrina, Datensouveränität im Spannungsfeld zwischen Datenschutz und Datennutzung: das Beispiel des Data Governance Acts, CR 2022, 508 (514 Rn. 33); Spindler, Gerald, Schritte zur europaweiten Datenwirtschaft – der Vorschlag einer Verordnung zur europäischen Data Governance, CR 2021, 98 (104 Rn. 28).
  41. 41 Hartl, Andreas/Ludin, Anna, Recht der Datenzugänge, MMR 2021, 534 (537).
  42. 42 Richtlinie (EU) 2019/1024 des Europäischen Parlaments und des Rates vom 20. Juni 2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors, ABl L 172/56 vom 26.06.2019.
  43. 43 Tolks, Daniel, Die finale Fassung des Data Governance Act, MMR 2022, 444 (445).
  44. 44 Stellungnahme des Verbraucherzentrale Bundesverbands zum Vorschlag der EU-Kommission für eine Verordnung über europäische Daten-Governance 12. Januar 2021, S. 6 f.
  45. 45 Ibid, S. 6 f.
  46. 46 Ibid, S. 6 f.
  47. 47 Dazu und zur folgenden Argumentation: Schildbach, Roman, ZD 2022, 148 (150 f.).
  48. 48 Schildbach, Roman, Zugang zu Daten der öffentlichen Hand und Datenaltruismus nach dem Entwurf des Daten-Governance-Gesetzes, ZD 2022, 148 (150 f.); Spindler, Gerald, Schritte zur europaweiten Datenwirtschaft – der Vorschlag einer Verordnung zur europäischen Data Governance, CR 2021, 98 (102 Rn. 18).
  49. 49 Das ergibt sich aus ErwG 14 des Datengesetzes.
  50. 50 Siehe dazu auch Erwägungsgründe 5, 6, 14, 15 des Datengesetzes.
  51. 51 Specht-Riemenschneider, Louisa, Data Act – Auf dem (Holz-)weg zu mehr Dateninnovation?, ZRP 2022, 137 (138).
  52. 52 Verordnung (EU) 2018/1807 des Europäischen Parlaments und des Rates vom 14. November über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union, ABl L303/59 vom 28.11.2018.
  53. 53 So: Bomhard, David/Merkle, Marieke, Der Entwurf eines EU Data Acts – Neue Spielregeln für die Data Economy, RDi 2022, 168 (172).
  54. 54 Klink-Straub, Judith, Data Act als Rahmen für gemeinsame Datennutzung, ZD-Aktuell 2022, 01076.
  55. 55 Klink-Straub, Judith, Data Act als Rahmen für gemeinsame Datennutzung, ZD-Aktuell 2022, 01076; Zurawski, Paul/Schaller, Till, EU-Kommission: Der Data-Act Entwurf, ZD-Aktuell 2022, 01119.
  56. 56 Stellungnahme des Max-Planck-Instituts für Innovation und Wettbewerb vom 25.05.2022: https://www.ip.mpg.de/de/forschung/meldungen-aus-der-forschung/stellungnahme-zum-datengesetz-data-act-der-eu.html, Rn. 295 ff.
  57. 57 Podszun, Rupprecht/Pfeifer, Clemens, Datenzugang nach dem Data Act: Der Entwurf der Europäischen Kommission, GRUR 2022, 953 (960); Von Lewinski in: Wolff/Brink, BeckOK Datenschutzrecht, 41. Edition, Art. 20 Rn. 1.1.
  58. 58 Stellungnahme des Max-Planck-Instituts für Innovation und Wettbewerb vom 25.05.2022: https://www.ip.mpg.de/de/forschung/meldungen-aus-der-forschung/stellungnahme-zum-datengesetz-data-act-der-eu.html, Rn. 300 f.
  59. 59 EuGH, Urteil vom 05. Juni 2018, C-210/16 Wirtschaftsakademie, Rn. 38; Urteil vom 10. Juli 2018, C-25/17 Zeugen Jehovas, Rn. 68 f.
  60. 60 EuGH, Urteil vom 29. Juli 2019, C-40/17 Fashion ID, Rn. 74.
  61. 61 Stellungnahme Bitkom vom 19. April 2022, https://www.bitkom.org/sites/main/files/2022-04/2204-Bitkom-DataAct-PositionPaper-long.pdf, S. 4 f.
  62. 62 Specht-Riemenschneider, Louisa, Data Act – Auf dem (Holz-)weg zu mehr Dateninnovation?, ZRP 2022, 137 (138).
  63. 63 Dazu: Lang in: Taeger/Gabel, DSGVO – BDSG – TTDSG, 4. Auflage 2022, Art. 26 Rn. 103, 104, 1, 2.
  64. 64 Staudenmayer, Dirk, Der Verordnungsvorschlag der Europäischen Kommission zum Datengesetz – Auf dem Weg zum Privatrecht in der Datenwirtschaft, EuZW 2022, 596 (597).
  65. 65 Staudenmayer, Dirk, aaO.
  66. 66 Albers, Marion/Veit, Raoul-Darius in: Wolff/Brink, BeckOK Datenschutzrecht, 41. Edition, Art. 9 Rn. 59 ff.