Die Digitalisierungsrechtsakte der EU – ein Gespräch mit Andreas Rohner von der Datenschutzbehörde

Business Circle: Sehr geehrter Herr Mag. Rohner, mit dem Digital Services Act und dem Data Act tritt eine neue Generation europäischer Digitalregulierung in Kraft. Wie verändern diese Akte das bisherige Datenschutzrecht – und wo entstehen neue Herausforderungen für nationale Behörden?

Andreas Rohner: Der Digital Services Act (DSA) und der Data Act erweitern die europäische Digitalregulierung, als deren Fundament die Datenschutz-Grundverordnung (DSGVO) angesehen werden kann. Die Grundregel in diesen Rechtsakten lautet: Die DSGVO wird unberührt gelassen (etwa DSA) oder genießt im Zweifel sogar Vorrang (etwa Data Act). Naturgemäß überschneiden sich diese Rechtsakte in der Praxis sehr wohl, da die Verarbeitung personenbezogener Daten – und damit die Anwendung der DSGVO – zum Alltag im digitalen Bereich gehört. Für Rechtsunterworfene wie auch für nationale Behörden stellt es eine Herausforderung dar, die neuen, teilweise sehr umfangreichen und komplexen, Verpflichtungen zu kennen und mit ihnen arbeiten zu können. Regelmäßig ist auch nicht nur eine Behörde zuständig. Die Behörden müssen sich deshalb gut untereinander koordinieren, „Silo-Denken“ ist hier fehl am Platz.

BC: Der DSA bringt ein gestuftes Pflichtenmodell für digitale Dienste – von Hosting über Plattformen bis zu „Very Large Online Platforms“. Für die großen Player soll die Kommission zuständig sein, auf nationaler Ebene die jeweils benannten nationalen Behörden. Dem Datenschutzrecht ist dieses Konstrukt fremd. Wie schätzen Sie die tatsächliche Wirksamkeit dieser Durchsetzungsverteilung ein?

Rohner: Wir werden sehen, ob die Durchsetzung der Verordnung von der zentraleren Rolle der Kommission profitiert. Sie ist es auch aus anderen Rechtsakten gewohnt, mit großen Unternehmen umzugehen und entsprechende Verfahren zu führen. Hier kann etwa Expertise aus der DG COMP, in welcher schon seit langer Zeit wettbewerbsrechtliche Verfahren geführt werden, herangezogen werden. Es wird damit auch verhindert, dass die Verfahren zu den meisten der großen Unternehmen in einem Mitgliedsstaat von einer nationalen Behörde geführt werden müssen. Andererseits ist die Unabhängigkeit von nationalen Regulierungsbehörden meiner Meinung nach ein hohes Gut und ist es sehr sinnvoll, dass sie diese Verfahren, welche Personen im jeweiligen Mitgliedsstaat betreffen, auch selbst maßgeblich führen. Der Umgang zwischen Kommission und den nationalen Behörden wird sich daher sicher noch einspielen müssen.

BC: Der Data Act verspricht mehr „Fairness im Datenökosystem“. Welche konkreten neuen Rechte erhalten hier User – und wie stark kollidieren diese mit bestehenden Datenschutzgrundsätzen wie Zweckbindung oder Datenminimierung?

Rohner: Der Data Act bringt neue Rechte für Nutzer:innen im Zusammenhang mit Daten, die durch die Nutzung vernetzter Produkte entstehen, also etwa bei sogenannten Smart Devices. Dabei handelt es sich weitgehend um Zugangs- und Portabilitätsrechte, die teilweise auch über die DSGVO hinausgehen, weil sie sich nicht nur auf personenbezogene, sondern auch auf „produktbezogene“ oder gemischte Daten beziehen. Die Grundsätze der DSGVO haben allerdings – sobald personenbezogene Daten involviert sind – Bestand und sind einzuhalten. Eine (Weiter-)Verarbeitung, etwa durch den Dateninhaber, muss daher unter anderem auf einen entsprechenden, datenschutzrechtlichen Erlaubnistatbestand gestützt werden können und hat auch den übrigen Grundsätzen, wie etwa jenen der Zweckbindung und Datenminimierung, zu genügen.

Die Rechtsakte verfolgen auch einen legitimen Zweck

BC: DSGVO, DSA, DMA, Data Act, AI Act – für viele Unternehmen entsteht zunehmend ein regulatorischer Dschungel. Könnte das aus Ihrer Sicht effizienter und transparenter gestaltet werden, um Unternehmen, ins besondere KMU und Start-Ups zu entlasten?

Rohner: Die zunehmend wahrzunehmende Überforderung mit diesen Rechtsakten ist für mich durchaus nachvollziehbar und stellt auch für die Regulierungsbehörden eine Herausforderung dar. Allerdings sollte immer im Kopf behalten werden, dass die Rechtsakte auch einen legitimen Zweck verfolgen und sie sind mir persönlich deutlich lieber als 27 nationale Alleingänge. Viele Bestimmungen dieser Verordnungen werden auch für KMU und Start-Ups nicht einschlägig sein. Allerdings verfügen sie schlicht nicht über die Ressourcen, sich mit all diesen Verordnungen im Detail auseinandersetzen zu können. Hier sind auch die Behörden gefordert, entsprechende Leitlinien und Hilfestellungen bereitzustellen. Diese sollten möglichst praxisnahe sein und konkrete Anwendungsfälle berücksichtigen. Eine Voraussetzung dafür ist natürlich, dass die Behörden die entsprechenden Ressourcen haben, um dies auch umsetzen zu können. Die Datenschutzbehörde arbeitet derzeit etwa an einem EU-Projekt für KMU um die Compliance im Datenschutzbereich zu erleichtern. Derartige Initiativen halte ich für äußerst sinnvoll.

BC: Welche Rolle spielt die österreichische Datenschutzbehörde konkret im Zusammenspiel mit anderen Institutionen, etwa dem EDPB oder den nationalen Digitalregulierungsstellen? Braucht es neue Koordinierungsmechanismen?

Rohner: Im Rahmen des EDPB gibt es nun bereits einige Jahre durch die DSGVO festgesetzte und in den „rules of procedure“ spezifizierte Mechanismen zur Zusammenarbeit. Die europäischen Datenschutzbehörden sind im Rahmen des EDPB daher gut eingespielt versuchen die Zusammenarbeit stetig noch weiter zu verbessern. Auf nationaler Ebene ist die Koordinierung weniger institutionalisiert. Die Behörden sind untereinander aber auch durch entsprechende Initiativen gut vernetzt. Die Datenschutzbehörde hat mit der KommAustria etwa ein Memorandum of Understanding hinsichtlich des DSA. In diesem Zusammenhang habe ich selbst eine Woche bei der KommAustria bzw. der RTR im Rahmen der Umsetzung des DSA verbracht, nicht zuletzt um auch unsere Erfahrungen mit der DSGVO entsprechend einzubringen und den Grundstein für einen guten Austausch zu legen. Außerdem sind alle unabhängigen Regulierungsbehörden im sogenannten „Netzwerk Digitalisierung“ vertreten, über welches es zu regelmäßigem Austausch kommt. Dennoch wünschen wir uns in den jeweiligen Umsetzungsrechtsakten auf nationaler Ebene ein entsprechendes Festhalten dieser Koordinierungs- und Kommunikationsverpflichtungen.

BC: Sind wir mit der jetzigen Struktur der Datenschutzaufsicht – sowohl in Österreich als auch in Europa – ausreichend gerüstet für diese neuen digitalen Rechtsakte? Oder braucht es aus Ihrer Sicht strukturelle Anpassungen?

Rohner: Die Datenschutzaufsicht in Europa ist durch die DSGVO mittlerweile gut vernetzt und verfügt mittlerweile über viel Erfahrung. Dennoch leiden die meisten Datenschutzbehörden unter Ressourcenmangel, der durch stark steigende Beschwerdezahlen, zunehmende technische Komplexität und eben zahlreichen neuen Kompetenzen entsprechend verschärft wird. Hier braucht es gezielte Investitionen in Personal und technische Ausstattung sowie eine konsequente Intensivierung des europäischen und internationalen Austauschs.

BC: Sehr geehrter Herr Mag. Rohner, wir danken Ihnen für dieses Gespräch!

‍