glossaryDefinedTermmaschinenlesbar

Data Act und DSGVO: Definition und rechtliche Bedeutung (AI Act / Data Act)

MenschMarkdown öffnen

Die Schnittstelle Data ActDSGVO regelt, wie die Datenzugangs-/Weitergabepflichten des Data Act und die Datenschutzvorschriften der DSGVO zusammenwirken. Grundsatz: der Data Act „erlaubt" Datenzugang/-weitergabe nicht — er setzt die DSGVO als Sperrklausel voraus. D.h., personenbezogene Daten unterliegen weiterhin der DSGVO; der Data Act ergänzt durch Pflichten (Datenzugang, FRAND, Switching) und Rechte (Datennutzer-Rechte), die DSGVO-konform ausgeführt werden müssen. Konkret: (1) Rechtsgrundlage — Dateninhaber/Datennutzer/Datenempfänger brauchen DSGVO-Rechtsgrundlage (Vertrag, Einwilligung, berechtigtes Interesse); (2) Betroffenenrechte — Auskunft, Berichtigung, Löschung bleiben voll anwendbar; (3) Auftragsverarbeitung — bei Datenweitergabe an Dritte (Art. 28); (4) DSFA bei hochriskanter Verarbeitung. Der Data Act ist kein DSGVO-Ersatz, sondern ein Daten-Wirtschaftsrecht, das DSGVO-konform operiert.

Rechtliche Klarheit entsteht, wenn Definition, Artikelbezug, Quelle und eigene Einordnung zusammenkommen.
Steve Baka
grundsatz

Grundsatz: DSGVO als Sperrklausel

Grundsatz der Schnittstelle Data ActDSGVO: der Data Act „erlaubt" Datenzugang/-weitergabe nicht — er setzt die DSGVO als Sperrklausel voraus. Das bedeutet: personenbezogene Daten unterliegen weiterhin der DSGVO; die Data-Act-Pflichten (Datenzugang nach Art. 4–5, FRAND-Weitergabe nach Art. 9–11, Switching nach Art. 13–15) müssen DSGVO-konform ausgeführt werden. Konkret: der Dateninhaber (oft Verantwortlicher nach DSGVO) darf personenbezogene Daten nur dann weitergeben, wenn eine DSGVO-Rechtsgrundlage vorliegt (Vertrag Art. 6 Abs. 1 lit. b, Einwilligung lit. a, berechtigtes Interesse lit. f, gesetzliche Pflicht lit. c). Besondere Datenkategorien (Art. 9 DSGVO — Gesundheitsdaten, biometrische Daten zur Identifizierung) haben noch engere Voraussetzungen. Der Data Act schafft keine neue Rechtsgrundlage für die Datenverarbeitung.

pflichten

DSGVO-Pflichten bei Datenweitergabe

DSGVO-Pflichten bei Datenweitergabe nach Data Act: (1) Rechtsgrundlage — Dateninhaber/Datennutzer/Datenempfänger brauchen je eigene DSGVO-Rechtsgrundlage für die jeweilige Verarbeitung (Zugang, Weitergabe, Empfang, Nutzung); (2) Betroffenenrechte — Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Beschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21) bleiben voll anwendbar; der Datenempfänger wird zum Verantwortlichen; (3) Auftragsverarbeitung (Art. 28) — bei Datenweitergabe im Auftrag (z. B. an Dienstleister); (4) Datenschutz-Folgenabschätzung (Art. 35) — bei hochriskanter Verarbeitung (z. B. umfassende Verhaltens-/Gesundheitsdatenweitergabe); (5) Verträge — klare Verantwortungsverteilung, Verarbeitungszweck-Begrenzung, Sicherheitsvorkehrungen; (6) Datensicherheit (Art. 32) — Verschlüsselung, Zugangskontrolle, Protokollierung. Über die DSGVO hinaus: Trade Secrets-Schutz (Art. 4 Abs. 3 Data Act).

praxis

Praxis: Konsolidierte Daten-/Datenschutz-Strategie

Praktisch erforderlich: eine konsolidierte Daten-/Datenschutz-Strategie, die Data Act + DSGVO + AI Act verknüpft. Schritte: (1) Dateninventar — welche Daten sind personenbezogen/besondere Kategorien? (2) Rechtsgrundlagen-Matrix — je Datenkategorie und Verarbeitungszweck; (3) Verträge — zwischen Dateninhaber, Datennutzer, Datenempfänger, Auftragsverarbeiter (Art. 28), klare Verantwortungsverteilung; (4) Betroffenen-Rechte-Prozesse — Anlaufstelle, Bearbeitung, Weiterleitung über mehrere Akteure; (5) DSFA bei hochriskanter Verarbeitung; (6) Datensicherheit — Verschlüsselung, Zugangskontrolle, Anonymisierung/Pseudonymisierung, wo möglich. Für KI-Anwendungen, die auf Data-Act-Daten aufbauen: AI Act kommt hinzu — Hochrisiko-Pflichten bei anwendbarer Einstufung, GPAI bei Foundation-Modellen. Aufsichtlich: Datenschutz-Aufsichten (DSK) und Datenzugangsbehörden (DE: BMWK) koordinieren; die Kommission veröffentlicht Leitlinien zur Vermeidung doppelter Anforderungen. Eine integrierte Compliance-Architektur ist Haftschutz und Wettbewerbsvorteil.

Sources

Quellen

Verordnung (EU) 2024/1689 (AI Act) — EUR-Lex

Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act.

EU AI Office

Europäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.

Verordnung (EU) 2023/2854 (Data Act) — EUR-Lex

Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act.

Datenschutz-Grundverordnung (DSGVO) — EUR-Lex

Amtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO.

AI Act — konsolidierter Lesetext (ai-act-law.eu)

Future of Life Institute / Konsortium. Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.

European Data Protection Supervisor (EDPS)

EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act.

European Data Protection Board (EDPB)

EDPB. EU-Datenschutzgremium mit KI-Leitlinien.

EU AI Pact

Europäische Kommission. Freiwillige Frühumsetzung des AI Act.

Cyber Resilience Act (VO (EU) 2024/2847) — EUR-Lex

Amtsblatt der Europäischen Union. Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).

Richtlinie (EU) 2022/2555 (NIS2) — EUR-Lex

Amtsblatt der Europäischen Union. IT-Sicherheitsanforderungen für kritische Sektoren.

Digital Services Act (VO (EU) 2022/2065) — EUR-Lex

Amtsblatt der Europäischen Union. Plattformregulierung; Schnittstelle zu KI-Systemen.

Data Governance Act (VO (EU) 2022/868) — EUR-Lex

Amtsblatt der Europäischen Union. Rahmen für Datenvermittlung und -weitergabe.

Vorschlag AI Liability Directive (COM(2022)496)

Europäische Kommission. Haftung für KI-verursachte Schäden (Vorschlag; Stand prüfen).

Bundesamt für Sicherheit in der Informationstechnik (BSI)

BSI. IT-Sicherheitsbehörde Deutschland.

Datenschutzkonferenz (DSK)

DSK. Zusammenschluss der deutschen Datenschutz-Aufsichten.

Der Bundesbeauftragte für Datenschutz (BfDI)

BfDI. Bundesdatenschutzbeauftragter Deutschland.

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)

EDÖB / FDPIC. Schweizer Datenschutzbehörde.

FAQ

Häufige Fragen

Wie hängen Data Act und DSGVO zusammen?

Data Act „erlaubt" Datenzugang nicht — DSGVO ist Sperrklausel. Personenbezogene Daten unterliegen weiterhin DSGVO; Data Act ergänzt durch Pflichten/Rechte, die DSGVO-konform operieren.

Brauche ich eine DSGVO-Rechtsgrundlage für Data-Act-Weitergabe?

Ja. Dateninhaber/Datennutzer/Datenempfänger brauchen je eigene Rechtsgrundlage (Vertrag, Einwilligung, berechtigtes Interesse). Besondere Datenkategorien (Art. 9) engere Voraussetzungen.

Wie integriere ich das praktisch?

Dateninventar, Rechtsgrundlagen-Matrix, Verträge (Art. 28 Auftragsverarbeitung), Betroffenen-Rechte-Prozesse, DSFA, Datensicherheit. Plus AI Act bei KI-Anwendungen. Aufsichtlich: DSK + BMWK koordinieren.

KI-Compliance umsetzen

Du willst EU AI Act und Data Act praktisch umsetzen?

Ich helfe dir, aus Konzepten, Pflichten, Use-Cases und Nachweisen ein Compliance-System zu bauen, das für Menschen verständlich und für Aufsichten nachvollziehbar ist.

Jetzt beraten lassen
Related