Was der EU-Data Act aus Datenschutzperspektive bedeutet: Thomas Schweiger im Gespräch
Dr. Thomas Schweiger ist Rechtsanwalt, externer Datenschutzbeauftragter, FH-Lektor, Autor und Blogger zu Datenschutzthemen. Wir sprechen über faire Datennutzung, Datenschutz und darüber, was eine digitale Grundausbildung abdecken sollte.
Business Circle: Sehr geehrter Herr Dr. Schweiger, Sie sind nicht nur Anwalt mit eigener Kanzlei, sondern auch als externer Datenschutzbeauftragter tätig. Könnten Sie uns kurz skizzieren, wie Sie Ihr Weg dorthin geführt hat und insbesondere auch, ab wann Datenschutz für Sie das zentrale Thema wurde?
Thomas Schweiger: Das Thema Datenschutz beschäftigt mich seit ich an der Duke University School of Law im Rahmen meines LLM-Studiums im Jahr 1995 mit dem „Internet“ in Berührung kam, und dann auch bald im Bereich des IT-Rechts tätig wurde. Erste Aufgabenstellungen waren die Verwendung der damals „neuen Medien“ im Arbeitsalltag und die rechtlichen Konsequenzen daraus. Zentral wurde das Thema, nicht nur für mich, sondern für viele Organisationen mit der DSGVO, sodass ich viele Unternehmen bei den ersten Vorbereitungshandlungen auf den Geltungsbeginn der DSGVO bereits im Jahr 2017 unterstützt habe.
BC: In Ihrem letzten Beitrag auf unserer Blog-Seite haben Sie über den Musterprozess um das Google Fonts-Verfahren geschrieben. Wie ist da der aktuelle Stand?
Schweiger: Aktuell gibt es in unserem Verfahren noch keinen weiteren Gerichtstermin. Ich nehme an, die Richterin wartet nach der Entscheidung der DSB im amtswegigen Prüfverfahren (Herbst 2023) und den Hausdurchsuchungen und Sicherstellungen bei den Beschuldigten den Fortgang des strafrechtlichen Ermittlungsverfahrens ab. Zwischenzeitig gab es ja ein paar zivilgerichtliche Entscheidungen in Verfahren, die gegen Eva Z. angestrengt wurden. Ob diese jedoch rechtskräftig sind, weiß ich nicht.
BC: Neue regulatorische Aufwendungen wie der Data Act sind meist für kleinere und mittlere Unternehmen schwieriger umzusetzen als für größere Player, wo sind aus Datenschutz-Perspektive die größten Herausforderungen für den heimischen Mittelstand?
Schweiger: Ziel des Data Act ist ein „fairer Zugang zu Daten und Ihrer Nutzung“ zur Schaffung eines echten Binnenmarktes für Daten. Die Umsetzung ist mE für alle beteiligten Unternehmen (Dateninhaber, Nutzer, Dritte) oder staatliche Stellen, die Zugang zu privaten Daten erhalten, gleichermaßen eine Herausforderung. Nach Art 5 Abs 1 S 2 DA bleiben die Bestimmungen der DSGVO unberührt, sodass bei einem Bezug der Daten zu natürlichen Personen, die Bestimmungen der DSGVO zu beachten sind. Eine Differenzierung, die es zu beachten gilt, ist dass der Begriff der Daten im DA, der sich im Wesentlichen auf die „Darstellung (engl: representation)“ bezieht, nur dann erfüllt ist, wenn diese in digitaler Form vorliegen. Die DSGVO hingegen bezieht sich auf die Information per se, die einer natürlichen Person zugeordnet werden kann, und zwar unabhängig von der Frage einer digitalen Darstellung. Die unterschiedlichen Konstruktionen der Datenzugangsansprüche (Art 4 Abs 1 und Art 5 Abs 1) oder der Datenlizenzvertrag (Art 4 Abs 13) werden uns noch intensiv beschäftigen, wenn wir über Nutzung von vernetzten Produkten und die Nutzung der aus der Verwendung resultierenden Daten diskutieren.
BC: Daten sind im 21. Jahrhundert das, was im 20. Jahrhundert das Erdöl war. Ein erleichterter Datenzugang und -austausch ist natürlich zu begrüßen. Aber: Wie behält man die Datensouveränität, vielleicht wollen ja die einen Unternehmen gar nicht, dass die anderen wissen, was sie machen.
Schweiger: Hier werden wir an die Grenzen der fairen Nutzung der Daten stoßen, da unterschiedliche Intentionen aufeinandertreffen, wenn zB in den Daten Geschäftsgeheimnisse enthalten sind. Grundsätzlich können Dateninhaber ein Datenzugangsverlangen nicht allein aufgrund dessen ablehnen, dass bestimmte Daten als Geschäftsgeheimnisse gelten Nach Erw31 sind diese Daten dennoch zur Verfügung zu stellen, wobei der Datenempfänger zur Vertraulichkeit verpflichtet werden kann. Eine der Voraussetzungen dafür ist jedoch, dass der Dateninhaber (als Herausgabepflichtiger) die Geschäftsgeheimnisse kennt (identifiziert) und die erforderlichen Maßnahmen zu deren vertraulicher Behandlung auch formuliert. Die Kommission wird dazu Musterklauseln herausgeben (ähnlich wie Standard-Datenschutzklauseln). Die Regelungen dazu finden wir in Art 4 Abs 6 ff DA.
Den digital natives sind die Konsequenzen ihrer Handlungen oft nicht bewusst.
BC: Sie sind ja auch in der Lehre an der FH Oberösterreich tätig, leistet das österreichische Bildungssystem genug, um junge Menschen auf die Herausforderungen im Datenschutzrecht vorzubereiten? Was müsste vordringlich geändert / verbessert werden?
Schweiger: Ich bin mir nicht sicher, ob unser Bildungssystem die jungen Menschen auf die „digitale Welt“ tatsächlich gut vorbereitet. Die digital natives können zwar mit den digitalen Geräten und Inhalten oft besser umgehen als „wir Alten“, aber die Konsequenzen aus den Handlungen, die damit gesetzt werden, sind ihnen oft nicht bewußt. Auf das Fahrradfahren, Motorradfahren oder Autofahren wird man vorbereitet, auf die Nutzung der digitalen Medien und Geräte jedoch nicht. Das ist sicherlich ein Defizit. Es wird jedoch versucht, die Labtops/Tablets an Schulen oder auch die Digitale Grundbildung in der Unterstufe zumindest ein Basiswissen zu vermitteln. Die digitale Welt entwickelt sich jedoch schneller als die Lehrpläne.
BC: Abschließend: Wir gehen nun schon seit 2004 ein Stück gemeinsamen Weges, was ist für Sie das Besondere an Business Circle und vor allem an der PriSec?
Schweiger: Business-Circle bietet „hands-on“ Informationen und die Möglichkeit des Erfahrungsaustausches auf den Konferenzen. Jede:r Teilnehmer:in hat die Möglichkeit, die Vortragenden mit ihren:seinen Fragestellungen zu konfrontieren und mit Diskussionsbeiträgen zu challengen. Die PriSec ist immer am Puls der Zeit, und auch das Rund-Herum neben den Vorträgen sollte man/frau auf sich wirken lassen. Aus Sicht des Datenschutzrechtlers ist es überdies wie ein Klassentreffen.
BC: Sehr geehrter Herr Dr. Schweiger, wir Danken Ihnen für die Gespräch und freuen uns, Sie wieder auf der PriSec zu begrüßen!
Dr. Thomas Schweiger, LL.M. ist Rechtsanwalt in Linz, Mitautor im DatKomm (Art 77, 81 und 82) sowie Praxishandbuch Datenschutzrecht (Beschwerdeverfahren und Sanktionen) und betreibt auch einen Blog auf www.dataprotect.at. Er ist als externer Datenschutzbeauftragter tätig und Lehrender an der FH OÖ (Hagenberg) im Bereich Compliance Engineering im Studienzweig Design of Digital Products. Im Rahmen der PriSec 24 ist er am 14. Oktober 2024 Gastgeber eines Workshops zum Thema „Data Act und die Auswirkungen & To-Dos für die Unternehmen aus der Datenschutzperspektive“