DSGVO vs. EU-Digitalgesetze – Konflikt oder Koexistenz?

Von Stephanie Richter | Senior Associate | Taylor Wessing Partnerschaftsgesellschaft mbB

Mit der Datenschutz-Grundverordnung („DSGVO“) hat die EU einen Grundstein für den Schutz personenbezogener Daten gelegt. Seit Mai 2018 gilt die DSGVO international als Vorbild für moderne Datenschutzgesetzgebung. Doch während der digitale Wandel weiter voranschreitet, hat der europäische Gesetzgeber seine digitale Agenda mit neuen Regelwerken wie z.B. dem Data Act („DA“), dem AI Act (KI-Verordnung) und dem Cyber Resilience Act („CRA“) ergänzt. Diese Initiativen sollen Innovation im Binnenmarkt fördern, digitale Souveränität sichern und neue Technologien (wie Künstliche Intelligenz) regulieren. Was zunächst nach einem stimmigen Gesamtkonzept klingt, erweist sich in der Praxis jedoch als Regulierungsdschungel mit widersprüchlichen Anforderungen. Das daraus resultierende Spannungsverhältnis zwischen DSGVO und neuen Digitalgesetzen, lösen letztere nur bedingt. Für den Fall eines parallel eröffneten Anwendungsbereichs sehen die Digitalgesetze vor, dass die DSGVO „unberührt“ bleibt. Konkrete Kollisionsregelungen fehlen jedoch. Es stellt sich also die Frage, welche Konflikte in der Praxis konkret entstehen und wie diese aufgelöst werden können.

1. DSGVO vs. Data Act – Spannungsfeld Datenschutz und Datenzugang

Der DA verfolgt ein zentrales Ziel: Die faire Datennutzung und -verteilung im Binnenmarkt. So haben Nutzer vernetzter Produkte (IoT) das Recht auf Zugang zu den durch diese Produkte generierten Daten. Der Dateninhaber ist verpflichtet, die Daten entweder direkt (Art. 3 Abs. 1 DA) oder auf Verlangen des Nutzers (Art. 4 Abs. 1 DA) bereitzustellen. Darüber hinaus kann der Nutzer verlangen, dass die Daten an einen Dritten – den sogenannten Datenempfänger – weitergegeben werden (Art. 5 Abs. 1 DA).

Konflikte in der Praxis:

Eine zentrale Herausforderung liegt in der Abgrenzung personenbezogener von nicht-personenbezogenen Daten. Während die DSGVO für erstere ein enges Schutzregime vorsieht, regelt der Data Act auch gemischte Datensätze bestehend aus personenbezogenen und nicht-personenbezogenen Daten. Für die Bereitstellung von personenbezogenen Daten unter dem DA ist eine Rechtsgrundlage zwingend erforderlich. Diese ist im Einzelfall zu ermitteln, was sicherlich nicht immer einfach sein dürfte. Im Ergebnis greift in Bezug auf die Verarbeitung personenbezogener Daten der volle Datenschutzrahmen der DSGVO – obwohl der DA eigentlich auf einen erleichterten Datenzugang zielt.

Der DA fordert, dass Produkte und Dienste künftig so gestaltet sind, dass Datenzugänge von Anfang an ermöglicht werden – ein „Access by Design“-Prinzip. Das steht im Kontrast zum „Privacy by Design“-Grundsatz der DSGVO, der vorsieht, Datenverarbeitungen möglichst zu minimieren.

Nach dem DA können Nutzer verlangen, dass der Dateninhaber ihre Daten an Dritte übermittelt. Dabei stellt sich die Frage, welche Rolle diese Dritten im datenschutzrechtlichen Sinne einnehmen: Sind sie Auftragsverarbeiter, eigene Verantwortliche oder gemeinsame Verantwortliche? Die DSGVO stellt je nach Rolle unterschiedliche Anforderungen an Verträge, Rechenschaftspflichten und technische und organisatorische Maßnahmen.

Nach dem Zweckbindungsgrundsatz der DSGVO dürfen Daten generell nur für den ursprünglichen Erhebungszweck verwendet werden. Der DA will dagegen die Portabilität und Wiederverwendbarkeit von Daten fördern. Dies kollidiert mit dem Grundsatz der Zweckbindung.

Lösungsansätze:

Data Governance: Betroffene Unternehmen sollten sich einen Überblick über die vorhandenen Daten und deren Klassifizierung machen. Dies erleichtert die Umsetzung der Anforderungen des DA erheblich.

Ermittlung von Konfliktsituationen: Unternehmensinterne Prozesse sind auf relevante Konfliktsituationen zwischen dem DA und der DSGVO zu prüfen.

2. DSGVO vs. AI Act – Datenschutz im Zeitalter der Künstlichen Intelligenz

Der AI Act ist das zentrale Instrument der EU, um KI sicher, vertrauenswürdig und grundrechtskonform zu regulieren. Insbesondere Hochrisiko-KI-Systeme, etwa im Gesundheitsbereich, unterliegen strengen Pflichten zu Datenqualität, Transparenz und Risikoüberwachung.

Konflikte in der Praxis

Datenminimierung vs. Anti-Bias: Die DSGVO fordert Datensparsamkeit, während der AI Act gerade für die Vermeidung von „biased“ KI-Systemen das Training mit großen Datenmengen voraussetzt. Hier stößt die Praxis gerade im Gesundheitsdatenschutz an Grenzen der Rechtfertigung.

Pflichten-Dopplung: Unternehmen müssen laut Art. 30 DSGVO ein Verzeichnis von Verarbeitungstätigkeiten führen. Der AI Act verlangt zusätzlich ein Risikomanagementsystem mit Post-Market-Monitoring. Eine inhaltliche und organisatorische Doppelung.

Meldepflichten: Datenschutzverstöße (Art. 33 DSGVO) und KI-Vorfälle (Art. 73 AI Act) müssen gemeldet werden – an unterschiedliche Behörden, mit unterschiedlichen Fristen und Formaten.

Lösungsansätze:

Anonymisierung: Gerade für das Training von KI-Systemen sollten die Möglichkeiten einer hinreichenden Anonymisierung der personenbezogenen Daten geprüft werden.
Im Übrigen: Frühzeitige Befassung mit der Betroffenheit nach dem AI Act und den entsprechenden Pflichten (!).

3. DSGVO vs. CRA – Cybersicherheit trifft auf Datenschutz

Mit dem CRA will die EU die IT-Sicherheit digitaler Produkte (IoT) verbessern. Hersteller sind verpflichtet, Sicherheitsupdates bereitzustellen, Vorfälle zu melden und ihre Produkte während des gesamten Lebenszyklus resilient zu halten.

Konflikte in der Praxis:

Überschneidende Meldepflichten: Der CRA fordert die Meldung schwerwiegender Datenschutzvorfälle an die Agentur ENISA, die DSGVO verlangt parallele Meldungen an Datenschutzbehörden. Ein einziger Vorfall – z.B. der Hack eines digitalen Produkts mit Zugriff auf personenbezogene Daten – kann doppelte Meldepflichten auslösen. Zudem sind Zuständigkeiten, Fristen und Meldekanäle unterschiedlich geregelt, was in Krisensituationen operative Risiken birgt.

Unterschiedliche Systematik bei Begrifflichkeiten: Der CRA spricht von „schwerwiegenden Vorfällen“ und „ausgenutzten Schwachstellen“, ohne dabei eine eindeutige Beziehung zu „Datenschutzverletzungen“ nach DSGVO herzustellen. Die DSGVO wiederum definiert Datenschutzverstöße nicht mit Blick auf Produktsicherheit, sondern auf den Verlust der Kontrolle über personenbezogene Daten (z. B. durch unbefugten Zugriff oder unrechtmäßige Verarbeitung). Es fehlen harmonisierte Definitionen, die Verantwortlichen Orientierung geben, wann ein Vorfall unter beide Gesetze fällt und wie die jeweiligen Anforderungen erfüllt werden sollen

Lösungsansätze:

Produktinventar und Risikoanalyse: Um den parallelen Anforderungen des CRA sowie der DSGVO gerecht zu werden, sollten Unternehmen als ersten Schritt ein systematisches Inventar aller betroffenen digitalen Produkte und der damit verarbeiteten Daten erstellen. Nur wer genau weiß, welche digitalen Produkte mit welchen Datenflüssen im Einsatz sind, kann Risiken frühzeitig erkennen und gezielte Maßnahmen zur Compliance einleiten.

Regelmäßige Updates: Der CRA ist noch in Umsetzung – viele Details (z. B. technische Standards, Schwellenwerte für Meldepflichten) werden durch z.B. ENISA-Leitlinien präzisiert. Wichtig ist es hier auf dem Laufenden zu bleiben und entsprechende Verantwortliche zu benennen.

Fazit: Mehr Kohärenz für Europas Digitalrecht

Die DSGVO war ein mutiger erster Schritt zu einer datenschutzfreundlichen digitalen Gesellschaft. Doch mit der Vielzahl an neuen digitalen Regelwerken droht ein Flickenteppich aus inkohärenten Vorgaben, Parallelpflichten und Auslegungsunsicherheiten. Für Unternehmen entsteht ein hoher Umsetzungsaufwand – und für die betroffenen Personen wird der Schutz ihrer Daten ungewisser.

IDACON Tag 2 | 09:00 - 10:00 Uhr

Forum 1: DSGVO vs. EU-Digitalgesetze

Der Vortrag soll den Einfluss der neuen EU-Digitalgesetze auf die DSGVO bzw. bestehende Datenschutzprozesse im Unternehmen näher beleuchten. Die Teilnehmer erhalten einen theoretischen Einblick in einzelne Kollisionspunkte der Rechtsakte. Daneben sollen die Teilnehmer praktische Hinweise für eine Implementierung der EU-Digitalgesetzakte im Einklang mit dem Datenschutz erhalten.