IT-Recht & Datenschutz

Data Act: Teil 5 – Datenbereitstellung an den Staat und die EU

Veröffentlicht am 13th Mai 2025

Der Data Act beinhaltet geradezu ein „Sammelsurium“ aus Regelungen zum Umgang mit anonymen und personenbezogenen Daten. Wenn man eine gemeinsame Klammer der verschiedenen Kapitel finden mag, wäre dies die Erleichterung des Zugangs zu Daten innerhalb bestimmter – häufig auch vertraglich flankierter – Regeln.

Eine besondere Nuance im Data Act enthält dabei das Kapitel V („Bereitstellung von Daten für öffentliche Stellen, die Kommission, die Europäische Zentralbank und Einrichtungen der Union wegen außergewöhnlicher Notwendigkeit“). Wie der Titel schon sagt, geht es um Pflichten von Dateninhabern, öffentlichen Stellen der Mitgliedstaaten oder der EU in bestimmten außergewöhnlichen Situationen Daten bereitzustellen.

Beteiligte Parteien

Berechtigt sind dabei öffentliche Stellen der Mitgliedstaaten und der EU. Dies gilt sogar grenzüberschreitend. Beispielsweise könnte eine deutsche Behörde im Fall des Fischsterbens in der Oder von einem polnischen Unternehmen Daten zur Verwendung bestimmter Chemikalien verlangen. In diesem Fall käme es jedoch nicht zu einem direkten Datenherausgabeverlangen, sondern zu einem Vorgehen „über Eck“. Die für das jeweilige Unternehmen zuständige Aufsichtsbehörde, hier also die polnische Behörde, koordiniert sodann das Verfahren (Art. 22 Data Act).

Verpflichtet sind in erster Linie Unternehmen (nicht aber andere öffentliche Stellen), nach den Ausführungen in ErwGr 63 wohl auch öffentliche Unternehmen. Diese Unternehmen müssen „Dateninhaber“ nach dem Data Act („DA“) sein, also nach der – leider zirkulären – Definition aus Art. 2 Nr. 13 DA eine Person, die nach dem Data Act oder einem anderen Gesetz berechtigt oder verpflichtet ist, Daten zu nutzen und bereitzustellen, die sie während der Erbringung eines verbundenen Dienstes abgerufen oder generiert hat. Interessanterweise hat der Unionsgesetzgeber damit anscheinend im Grundsatz darauf verzichtet, beispielsweise Restaurants zur Herausgabe von Gästedaten zu verpflichten, da das Gesetz eine Beschränkung auf verbundene Dienste vorsieht.

Um faktische Probleme bei Herausgabeverlangen zu vermeiden, wird der Kreis der Verpflichteten noch enger gezogen: Daten herausgeben müssen nur Dateninhaber, „bei denen sich diese Daten befinden“ (Art. 14 DA). In der englischen Sprachfassung heißen diese (erneut zirkulär) „data holders […] which hold those data“. Legt man diese Formulierungen so aus, dass es auf die physische (unmittelbare) Verfügungsgewalt ankommt (wenngleich dies nicht wirklich eindeutig ist), so ergibt sich eine mögliche Gesetzeslücke: Häufig sind die Inhaber unmittelbarer Gewalt datenschutzrechtlich Auftragsverarbeiter nach Art. 28 DSGVO. Diese sind jedoch nicht Dateninhaber (s. ErwGr 22 Data Act). Die Auftragsverarbeiter wären dann jedoch mangels ihrer Stellung als Dateninhaber nicht verpflichtet nach Kapitel V. Die Dateninhaber wiederum könnten ihre Pflichten nach Kapitel V umgehen, indem sie die Datenspeicherung ausgliedern. Dass ein derartiges Ergebnis nicht durchgreifen kann, ist bereits unter effet utile-Gesichtspunkten evident. Ein Gericht könnte dies auf verschiedene Art und Weise lösen, etwa im Sinne einer Analogie (die in der Rechtsprechung des EuGH ohnehin der französischen Rechtstradition folgend eher als interprétation gilt und daher einer geringeren Anwendungsschwelle unterliegt als die klassische Analogie im deutschen Recht). Vermutlich werden Gerichte letztlich– der datenschutzrechtlichen Logik folgend – Handlungen von Auftragsverarbeitern schlicht dem Dateninhaber zurechnen und den Dateninhaber entsprechend doch als einen solchen verstehen, bei dem sich die Daten befinden. Angesichts der hohen Relevanz der Datenherausgabeverlangen für die öffentliche Hand ist Dateninhabern jedenfalls davon abzuraten, auf dem Wege der Ausgliederung zu versuchen, sich ihrer Pflichten zu entledigen. Dies würde mit hoher Wahrscheinlichkeit im Ergebnis nicht gelingen.

Innerhalb der verpflichteten Dateninhaber gelten für Kleinst- und Kleinunternehmen noch einmal besonders enge Voraussetzungen einer solchen Pflicht: insbesondere muss ein öffentlicher Notstand vorliegen und die Daten dürfen nicht auf andere Weise unter gleichen Bedingungen gleich wirksam beschafft werden können (ErwGr 63 a.E.).

Insgesamt verfolgt Kapitel V ein gestuftes Konzept, das sich wie folgt darstellt:

Herausgabepflichten bei öffentlichem Notstand

Eine besonders weite Pflicht zur Übermittlung von Daten besteht im Falle eines „öffentlichen Notstands“. Dieser öffentliche Notstand hat drei Voraussetzungen (Art. 2 Nr. 29 Data Act):

  • Eine zeitlich begrenzte Ausnahmesituation
  • Negative Auswirkungen auf die Bevölkerung sowie das Risiko schwerwiegender und dauerhafter Folgen für die Lebensbedingungen oder wirtschaftliche/finanzielle Stabilität
  • Die amtliche Feststellung und Ausrufung der Ausnahmesituation

Der Unionsgesetzgeber hatte damit klar die „Corona-Krise“ vor Augen und die damit einhergehenden Herausforderungen, etwa was die Nachverfolgung von Infektionsketten (und möglicherweise auch Informationen zu Impfungen und durchgeführten Tests) anbelangt. Aber auch im Zuge anderer Krisen wie umfassender Cybersicherheitsvorfälle, Energiekrisen, Naturkatastrophen oder Tierseuchen werden diese Regelungen künftig sicherlich Relevanz entfalten.

Im Falle eines solchen öffentlichen Notstands müssen verpflichtete Dateninhaber den öffentlichen Stellen Daten jeder Art herausgeben, mithin Daten sowohl mit als auch ohne Personenbezug. Die Datenherausgabe muss sich zudem als „erforderlich“ erwiesen, um den Notstand zu bewältigen. Hinzu kommt, dass es für die öffentliche Stelle keine Möglichkeit geben darf, sich diese Daten unter gleichwertigen Bedingungen auf andere Weise rechtzeitig und wirksam zu beschaffen.

Die fehlende Möglichkeit, sich diese Daten auf alternative Weise zu beschaffen, zielt insbesondere auf den Erwerb auf dem freien Markt ab. Hierfür gilt wiederum eine Ausnahme für den (sehr speziellen) Sonderfall insofern, als der Erwerb von anonymen Daten auf dem freien Markt nicht als mildere Maßnahme erforderlich ist, wenn dies der Erstellung amtlicher Statistiken dient und der Erwerb solcher Daten nach nationalem Recht nicht zulässig ist. Der Sinn hinter dieser Ausnahmeregelung mag sich nicht völlig erschließen (beispielsweise, weshalb geringere Schwellen zur Heranziehung von anonymen Daten als für personenbezogene Daten gelten und warum überhaupt Statistiken eine Sonderstellung genießen sollen, noch dazu eine privilegierte). Die Ausnahme mag in der Praxis aufgrund ihres engen Anwendungsbereichs ein Nischendasein leben.

Ein weit offensichtlicheres Problem ist die Schwelle für die „Erforderlichkeit“, um den Notstand zu bewältigen ebenso wie das Erfordernis einer fehlenden Alternativbeschaffungsmöglichkeit. Im Hinblick auf ersteres erschiene es (aus dem deutschen Verwaltungsrecht entlehnt) naheliegend, der öffentlichen Hand eine Art „Einschätzungsprärogative“ zuzugestehen. Wenn eine erlangte Information sich im Nachhinein als weniger relevant als erhofft darstellt, wird dies das Herausgabeverlangen nicht rückwirkend rechtswidrig werden lassen. Dies liegt insbesondere vor dem Hintergrund nahe, dass die öffentliche Stelle den Informationsgehalt der angeforderten Daten erst nach ihrem Erhalt vollständig wird beurteilen können.

Im Hinblick auf die fehlende alternative Erwerbsmöglichkeit stellt sich die Frage, ob die öffentliche Stelle (i) jeden Preis zahlen muss und (ii) ein vorher ausgeschöpftes milderes Mittel auch die Verpflichtung des Dateninhabers nach einem Verwaltungsakt ist, der auf anderer Basis als dem Data Act ausgesprochen wurde.

Der Data Act selbst erwähnt in seinem ErwGr 64 als Alternativmöglichkeiten die „freiwillige Bereitstellung von Daten durch ein anderes Unternehmen“ oder die Abfrage einer öffentlichen Datenbank. Ersteres wird sicherlich in der Praxis schwerlich durchsetzbar sein, kann aber natürlich bei Großkrisen wie den Geschehnissen um die Corona-Pandemie doch praktisch relevant werden.

Im Hinblick auf akzeptable Kosten wird man sich – in Anlehnung an ErwGr 65 – sicherlich am „jeweiligen Marktkurs“ orientieren. Liegt eine solche Möglichkeit zum Erwerb zu angemessen Preisen nicht vor, muss das in Anspruch genommene Unternehmen die Daten grundsätzlich bereitstellen.

Herausgabepflichten bei reiner Aufgabenerfüllung

Ein womöglich häufigerer Anwendungsfall des Data Acts betrifft die in Art. 15 Abs. 1 lit. b zweite Konstellation: Einbezogen sind nur anonyme Daten. Die Pflicht zur Datenbereitstellung ist daher ein Paradebeispiel für die viel diskutierte „Flucht ins Datenschutzrecht“, wonach die Vermengung mit personenbezogenen Daten (oder die weite Interpretation des Personenbezugs) dazu führen könnte, dass in einigen Konstellationen die Pflicht nach Art. 15 Abs. 1 lit. b Data Act entfallen könnte.

Der wesentlichste Unterschied zur vorigen Konstellation besteht darin, dass es keines ausgerufenen (und tatsächlichen) Notstands bedarf. Stattdessen reicht es aus, dass das Beschaffen der Daten erforderlich ist, um eine bestimmte im öffentlichen Interesse liegende Aufgabe zu erfüllen. Ein ausdrücklich genanntes Beispiel ist die Erstellung amtlicher Statistiken. Die Schwelle für die Verpflichtung, Daten herauszugeben, ist hinsichtlich des Zwecks daher sehr niedrig angesiedelt.

Möglicherweise, um dies wiederum einzugrenzen, hat der unionale Gesetzgeber das Erforderlichkeitskriterium sehr strikt konkretisiert. Anders als bei einem Notstand muss die öffentliche Stelle „alle anderen ihr zur Verfügung stehenden Mittel ausgeschöpft“ haben, wie etwa den Erwerb der Daten auf dem freien Markt, die Inanspruchnahme bestehender Verpflichtungen zur Bereitstellung von Daten oder der Erlass neuer Rechtsvorschriften, die die rechtzeitige Verfügbarkeit der Daten gewährleisten könnten. Der Erwerb von Daten muss dabei als milderes Mittel nur zum „jeweiligen Marktkurs“ erfolgen (Erwägungsgrund 65). Ein solcher wird praktisch freilich häufig nicht allzu leicht zu ermitteln sein, da es oft um eine sehr spezielle, noch dazu von Zeitdruck geprägte Situation gehen wird.

Herangezogene Unternehmen, welche sich möglicherweise gegen ein Herausgabeverlangen zur Wehr setzen möchten, könnten an dieser Stelle anknüpfen und bei einem bestehenden Markt für derartige Daten ein Datenbereitstellungsverlangen zurückweisen.

Verfahren

Der Data Act regelt das Verfahren eines solchen Datenbereitstellungsverfahrens sehr umfangreich. Insbesondere muss die öffentliche Stelle darlegen, welche Daten verlangt werden (was sicherlich mit einigen Unsicherheiten einhergehen wird, wenn der öffentlichen Stelle nicht im Detail bekannt ist, über welche Daten der Dateninhaber verfügt), den Zweck und die Rechtsgrundlage der öffentlichen Aufgabe benennen, Fristen angeben, die Wahl des Dateninhabers begründen, Geschäftsgeheimnisse nach Möglichkeit beachten und vieles mehr (s. insb. Art. 17 Data Act). Falls diese Anforderungen nicht erfüllt sind, kann der Dateninhaber ein Herausgabeverlangen ablehnen (Art. 18 Abs. 2 Data Act).

Interessanterweise muss der Dateninhaber Datensätze anonymisieren, sofern die öffentliche Hand die Personenbezüge nicht benötigt. Falls dies doch der Fall ist, muss der Dateninhaber die Daten grundsätzlich pseudonymisieren (Art. 18 Abs. 4 Data Act). Dies dürfte sich in der Praxis als durchaus herausfordernd darstellen, da insbesondere die Anonymisierung großer Datensätze erfahrungsgemäß weit über die maschinelle Entfernung etwa von Namen hinausgeht. Zudem stellt sich die Frage, ob Art. 15 Abs. 1 lit. b, der bereits initial nur anonyme Daten betrifft, die öffentliche Stelle dazu ermächtigt, die Herausgabe gleich welcher Daten zu verlangen unter der Prämisse, dass der verpflichtete Dateninhaber dann die Daten eben anonymisieren muss. Nach hier vertretener Ansicht ist dies nicht der Fall, da andernfalls die Unterschiede zwischen den Voraussetzungen und den Rechtsfolgen einer Pflicht verwischt würden. Stattdessen sind Daten mit Personenbezug nur im Fall eines Notstands betroffen. Diese Daten müssen dann jedoch vor der Herausgabe anonymisiert werden, wenn dies ausreicht, um den durch die öffentliche Stelle verfolgten Zweck zu erfüllen.

Im Fall einer Datenherausgabe bei einem öffentlichen Notstand müssen Daten grundsätzlich kostenlos herausgegeben werden. Die öffentliche Stelle kann den Beitrag des Dateninhabers jedoch auf dessen Ersuchen hin öffentlich anerkennen (Art. 20 Abs. 1 Data Act). Im Falle einer Heranziehung für die sonstige Aufgabenerfüllung können Dateninhaber eine „faire Gegenleistung“ verlangen, welche mindestens die entstandenen Aufwände erfasst, aber auch eine „angemessene Marge“. Die Höhe der Gegenleistung wird in erster Linie nicht etwa durch die öffentliche Stelle, sondern durch den Dateninhaber bestimmt. Die öffentliche Stelle kann, sofern sie hiermit nicht einverstanden ist, bei der für die Überwachung der Einhaltung des Data Acts zuständigen Aufsichtsbehörde Beschwerde einlegen (Art. 20 Abs. 5 Data Act).

Rechtsgrundlagen nach der DSGVO

Sofern die Herausgabeverlangen auch personenbezogene Daten umfassen (wie gezeigt, ist dies auf den Fall eines öffentlichen Notstands beschränkt), stellt sich die Frage nach der datenschutzrechtlichen Rechtsgrundlage. Wir haben uns zu der Frage, wann ein Konflikt zwischen den beiden Gesetzeswerken vorliegt, bereits umfassend in Teil 3 unserer Reihe zum Data Act  geäußert. Insbesondere statuiert Art. 1 Abs. 5 S. 1 des Data Acts, dieser gelte „unbeschadet“ der DSGVO. Die DSGVO genießt daher etwas vereinfach ausgedrückt einen Anwendungsvorrang für den Fall eines Konflikts zwischen diesen beiden Gesetzen. Wann ein solcher Konflikt vorliegt, ist nicht immer eindeutig bestimmbar.

Nach hier vertretener Auffassung besteht in diesem Fall kein solcher Konflikt: Zwar legt Art. 6 Abs. 1 DSGVO ein grundsätzliches Verarbeitungsverbot im Hinblick auf personenbezogene Daten fest. Hierfür ist jedoch eine Reihe von Ausnahmen vorgesehen, wobei hier insbesondere Art. 6 Abs. 1 lit. c DSGVO einschlägig sein dürfte. Danach ist die Verarbeitung rechtmäßig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, welcher der Verantwortliche unterliegt. Der Dateninhaber dürfte stets auch der datenschutzrechtlich Verantwortliche sein und damit der Pflicht zur Herausgabe nach dem Data Act unterfallen. Ein Konflikt liegt nach hier vertretener Auffassung nicht vor, da die DSGVO selbst die Ausnahme von ihrer Grundregel vorsieht. Sofern eine Verpflichtung nach Art. 15 Abs. 1 lit. a Data Act für den Fall eines öffentlichen Notstands vorliegt, wird man daher datenschutzrechtlich eine Rechtfertigung nach Art. 6 Abs. 1 lit. c DSGVO annehmen können.

Sanktionen und praktische Bedeutung

Wie bei den übrigen Bestandteilen des Data Acts gilt auch hier, dass die Höhe der Sanktionen abseits der recht abstrakten Anforderungen des Data Acts („wirksam, verhältnismäßig und abschreckend“) noch nicht absehbar ist. Das deutsche Gesetz zur Konkretisierung einiger Inhalte existiert noch nicht. Jedenfalls dürfen auch bei Verstößen im Hinblick auf das hier relevante Kapitel V die Datenschutz-Aufsichtsbehörden Geldbußen nach der DSGVO „innerhalb ihres Zuständigkeitsbereichs“ verhängen.

Praktisch wird es spannend sein, zu sehen, wie die öffentliche Hand von ihren neuen Kompetenzen Gebrauch machen wird. Dies gilt insbesondere vor dem Hintergrund der recht niedrigen Schwelle, wonach es für die Herausgabe anonymer Daten im Hinblick auf den Zweck ausreicht, dass die öffentliche Stelle irgendeine ihr übertragene Aufgabe verfolgt.

Unternehmen, die entsprechend herangezogen werden, sollten ihr weiteres Vorgehen insbesondere davon abhängig machen, wie schützenswert ihre Daten sind. Sie verfügen jedenfalls über einige Möglichkeiten, sich zu verteidigen, insbesondere, durch eine genaue Prüfung, ob das Verfahren eingehalten wurde. Ratsam ist es zudem, Geschäftsgeheimnisse als solche zu bezeichnen, damit diese nicht durch die öffentliche Stelle offengelegt werden (Art. 19 Abs. 3 Data Act).  Da im Fall eines Notstands zudem häufig keine Zeit für eine aufwändigere rechtliche Prüfung bestehen wird, empfiehlt es sich auch vor diesem Hintergrund (wie allerdings ohnehin angesichts diverser Verpflichtungen aus der DSGVO und dem Data Act), eigene Datenbestände im Hinblick auf Personenbezüge, Geschäftsgeheimnisse etc. bereits vorab zu klassifizieren.

Wie bei anderen Teilen des Data Acts auch, bleibt es bei den Zugriffsrechten der öffentlichen Hand spannend, zu sehen, wie relevant die neuen Regelungen werden.

Teilen
Related articles
Data Act: Teil 4 – Der Data Act reguliert das Cloud Switching – und beeinflusst das Verhältnis von Kunden und Cloud-Anbietern
22/04/2025 11 mins
ECC CLUB Studie 2025: Intelligence Rising
26/03/2025 2 mins
Data Act: Teil 3 – Data Act und DSGVO
25/03/2025 10 mins
Data Act: Teil 2 – Geltendmachung von Ansprüchen unter dem Data Act
17/02/2025 4 mins
Wollen Sie häufiger von uns hören?

Wir informieren Sie über Insights, News und Events zu Ihren relevanten Themen.

Jetzt anmelden

* Dieser Artikel entspricht dem aktuellen Stand zum Zeitpunkt seiner Veröffentlichung und spiegelt nicht notwendigerweise den aktuellen Stand des Gesetzes / der Regulatorik wider.

Sprechen Sie uns an

Wollen Sie häufiger von uns hören?

Wir informieren Sie über Insights, News und Events zu Ihren relevanten Themen.

Jetzt anmelden