Monat: Oktober 2025

Datenschutz als Todesurteil? Wenn Schweigen Leben kostet – über die Grenzen des Datenschutzes bei drohender Gewalt

von

Der Fall: Eine Chronologie des behördlichen Versagens

Die Fakten des vom Europäischen Gerichtshof für Menschenrechte (EGMR) entschiedenen Falls (3. April 2025, Beschwerde Nr. 56114/181) lesen sich wie ein Lehrstück darüber, wie fatale Folgen entstehen können, wenn Datenschutz und Schweigepflichten über das Leben gestellt werden.

Sachverhalt

Ein Mann, der 1995 wegen Vergewaltigung und Tötung seiner damaligen Partnerin verurteilt worden war, beginnt nach seiner Freilassung 2006 eine Beziehung mit der Beschwerdeführerin. Diese weiß nichts von seiner strafrechtlichen Vergangenheit.

Aufgrund seines gewalttätigen Verhaltens wendet sich die Beschwerdeführerin verzweifelt an seinen Hausarzt, der die Initiative ergreift und die Polizei informiert.

Die Polizei unternimmt keine offiziellen Schritte, um die Frau über die konkrete, aktenkundige Gefahr zu informieren. Lediglich ein einzelner Polizist gibt den vagen Hinweis, dass sie sich lieber von ihm trennen solle, ohne die zuvor begangenen Straftaten auch nur zu erwähnen.

2007 wird die Beschwerdeführerin Opfer von Entführung, elfstündiger Freiheitsberaubung, Vergewaltigung und schwerster körperlicher Misshandlung durch ihn, nachdem sie die Beziehung beenden wollte.

Die rechtliche Bewertung: EMRK schlägt Datenschutz

Der EGMR stellte in seinem Urteil vom 3. April 2025 klar fest: Die Schweiz hat gegen Artikel 2 EMRK (Recht auf Leben) verstoßen.

Die positive Schutzpflicht des Staates

Der Gerichtshof betonte, dass Staaten nicht nur verpflichtet sind, selbst keine Tötungen vorzunehmen, sondern aktiv das Leben ihrer Bürger zu schützen. Dies gilt insbesondere, wenn:

  • den Behörden eine konkrete, unmittelbare Gefahr bekannt ist oder hätte bekannt sein müssen,
  • es sich um vulnerable Personen handelt (hier: Opfer häuslicher Gewalt),
  • zumutbare Schutzmaßnahmen möglich gewesen wären.

Vulnerable Opfer häuslicher Gewalt

Der EGMR bekräftigte seine ständige Rechtsprechung, dass Opfer von Gewalt gegen Frauen und häuslicher Gewalt besonderen staatlichen Schutz genießen. Dieser umfasst:

  1. Wirksame Prävention durch Information und Aufklärung
  2. Schutz vor schweren Verletzungen der persönlichen Integrität
  3. Proaktives Handeln der Behörden bei bekannten Gefährdungen

Das vernichtende Urteil

Die Behörden hatten in diesem Fall alle notwendigen Informationen vorliegen:

  • Verurteilung wegen Tötung einer Partnerin
  • Weiteres Verfahren wegen Bedrohung/Nötigung einer anderen Ex-Partnerin
  • Aktuelle Hinweise des Hausarztes auf gewalttätiges Verhalten
  • Erkennbares Muster von Partnergewalt

Die ethische Dimension: Wenn Datenschutz den Schutz des Lebens überwiegt…

Dieser Fall wirft fundamentale ethische Fragen auf:

1. Das Persönlichkeitsrecht eines verurteilten Gewalttäters vs. das Leben einer potentiellen Gewaltopfers

Datenschutz dient dem Schutz der Persönlichkeit und der Privatsphäre. Strafrechtliche Verurteilungen, insbesondere nach verbüßter Strafe, sind besonders schützenswerte Daten. Der Resozialisierungsgedanke und das Interesse daran sind wichtige Rechtsgüter.

Aber kann das Persönlichkeitsrecht eines bereits mehrfach auffällig gewordenen Gewalttäters schwerer wiegen als das Leben einer konkreten Person und ihre körperliche Unversehrheit sowie Recht auf sexuelle Selbstbestimmung?

2. Die Ausartung des Schutzzwecks

Datenschutz soll Menschen vor Überwachung, Diskriminierung, missbräuchlicher Datenverwendung schützen.

In diesem Fall wurde Datenschutz jedoch zum Hindernis für den Schutz des Opfers. Die Kantonsplizei Luzern argumentierte faktisch damit, dass sie aufgrund des Datenschutzes die Geschädigte nicht informieren durfte.

Ist das schon eine Instrumentalisierung datenschutzrechtlicher Grundsätze, die ihren eigentlichen Zweck ins Gegenteil verkehrt?

3. Information als Existenzbedingung der Selbstbestimmung

Wie kann eine Person informiert über ihr eigenes Risiko entscheiden, wenn ihr entscheidende Informationen vorenthalten werden?

Die Beschwerdeführerin hatte kein faire Chance, sich zu schützen, da sie die Gefahr nicht einschätzen konnte.

Kann das in Deutschland passieren? Die DSGVO-Perspektive

Dazu schauen wir uns einmal die Rechtslage in der DSGVO, den Polizeigesetzen und zur ärztlichen Schweigepflicht an.

1. Grundsatz

Art. 10 DSGVO regelt die Verarbeitung von Daten über strafrechtliche Verurteilungen. Diese darf grundsätzlich nur unter behördlicher Aufsicht erfolgen. Das Bundeszentralregister (§§ 30 ff. BZRG) erfasst Verurteilungen, gibt sie aber nur unter engen Voraussetzungen weiter.

Führungszeugnisse werden nur auf Antrag der betroffenen Person oder bei gesetzlich geregelten Pflichten (z. B. Arbeit mit Kindern) ausgestellt.

2. Mögliche Rechtsgrundlage für die Datenübermittlung

Eine Weitergabe strafrechtlicher Daten an Dritte, wie hier die gefährdete Partnerin, käme möglicherweise nach folgenden Gesetzesvorgaben in Betracht:

„Die Verarbeitung ist rechtmäßig, wenn sie erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.“

Art. 6 Abs. 1 lit. d DSGVO

„Die Verarbeitung personenbezogener Daten sollte ebenfalls als rechtmäßig angesehen werden, wenn sie erforderlich ist, um ein Interesse, das für das Leben der betroffenen Person […] wesentlich ist, zu schützen.“

Erwägungsgrund 46 DSGVO

3. Polizeiliche Befugnisse

Die Polizeigesetze der Länder (z. B. § 8 PolG NRW, Art. 11 BayPAG) ermächtigen zur Gefahrenabwehr, einschließlich der Information gefährdeter Personen, Platzverweise oder Kontaktverbot sowie die Ingewahrsamnahme bei unmittelbarer Gefahr.

Die Polizeidienstvorschriften (PDV) und Leitlinien zur Bekämpfung häuslicher Gewalt betonen ebenfalls die proaktive Gefahrenabwehr.

4. Ärztliche Schweigepflicht – § 203 StGB

Der Hausarzt in diesem Fall hat die Polizei informiert. Das wirft die Frage der Schweigepflicht auf.

§ 203 Abs. 1 Nr. 1 StGB sanktioniert die Verletzung der ärztlichen Schweigepflicht. Aber bei drohender erheblicher Gefahr für Leib oder Leben darf die Schweigepflicht durchbrochen werden. Dies geht aus § 34 StGB zu den Notstandsregelungen hervor. Außerdem gibt es sogar Offenbarungspflichten bei Kenntnis bestimmter Straftaten2.

Man kann grundsätzlich davon ausgehen, dass bei konkreter Gefahr für Leib und Leben Dritter eine Offenbarung zulässig ist.

Deutsche Rechtsprechung zum Opferschutz

Deutsche Gerichte haben wiederholt betont, dass das Recht auf Leben staatliche Schutzpflichten begründet, die auch präventive Maßnahmen umfassen3. Behörden müssen bei erkennbaren Gefährdungslagen aktiv werden und dürfen sich nicht auf formale Hürden zurückziehen. Die Polizei darf und muss potentielle Opfer über konkrete Gefahren informieren, wenn anders kein wirksamer Schutz möglich ist.

Wäre in Deutschland anders gehandelt worden?

Die ernüchternde Antwort: Nicht sicher. Obwohl die Rechtslage in Deutschland ausreichende Handhabe bietet, gibt es erhebliche Defizite in der Praxis:

Behördenmitarbeiter fürchten oft Datenschutzverstöße und dienstrechtliche Konsequenzen, Regressansprüche bei Fehleinschätzungen oder eine mediale Skandalisierung.

Im Zweifel wird in der Folge geschwiegen, selbst wenn Leben oder körperliche Unversehrheit auf dem Spiel steht.

Muss sich was ändern?

Es braucht explizite gesetzliche Vorgaben, dass und unter welchen Voraussetzungen Behörden potentielle Opfer warnen müssen, um den Beschäftigten Sicherheit zu geben und Informationspflichten bei Vorliegen bestimmter Kriterien (z. B. Verurteilung wegen schwerer Gewalt gegen frühere Partner:innen). Eine standardisierte Risikoeinschätzung mit konkreten Schwellenwerten und Dokumentationspflichten für Gefährdungseinschätzungen wären mit Sicherheit ebenfalls sinnvoll.

Die Verhältnismäßigkeitsprüfung muss konsequent zu Ende gedacht werden. Was ist weniger einschneidend?

  • Die Information einer gefährdeten Person über die strafrechtliche Vergangenheit ihres Partners (begrenzte Offenbarung spezifischer Daten an konkrete Person)
  • Vergewaltigung, schwere Körperverletzung oder Tod (irreversible Verletzung fundamentaler Rechte)

Die Antwort ist offensichtlich.

Datenschutz als Schutz von Menschen – nicht von Daten

Datenschutz ist kein Selbstzweck. Art. 1 Abs. 2 DSGVO formuliert:

„Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.“

Art. 1 Abs. 2 DSGVO

Das Recht auf Datenschutz ist ein Mittel, um andere Grundrechte zu schützen. Dazu gehören Würde, Freiheit und Sicherheit. Wenn Datenschutz zum Hindernis für den Schutz von Leben wird, läuft etwas fundamental falsch.

Fazit

Der Fall N.D. gegen die Schweiz ist ein Weckruf. Er zeigt, dass ein formalistisches Verständnis von Datenschutz Leben kosten kann. Die Rechtslage ist ausreichend, das Problem liegt in der Praxis durch Übervorsicht und Risikoaversion. Diese Punkte führen dazu, dass rechtlich mögliche und gebotene Schutzmaßnahmen unterbleiben. Verhältnismäßigkeit muss ernst genommen werden. Das Persönlichkeitsrecht eines mehrfach gewalttätigen Straftäters kann niemals schwerer wiegen als das Leben einer konkreten gefährdeten Person.

Die eigentliche Frage ist nicht: „Dürfen wir warnen?“

Die Frage muss lauten: „Können wir es verantworten, zu schweigen?“

Nach dem Urteil des EGMR ist die Antwort klar: Nein.

AUTORIN

Sarah Tavcer ist Rechtsanwältin und seit einigen Jahren als externe Datenschutzbeauftragte und Datenschutzberaterin tätig.

  1. https://hudoc.echr.coe.int/#{%22respondent%22:[%22CHE%22],%22documentcollectionid2%22:[%22GRANDCHAMBER%22,%22CHAMBER%22],%22itemid%22:[%22001-242530%22]} ↩︎
  2. s. https://www.gesetze-im-internet.de/stgb/__138.html ↩︎
  3. https://www.bundesverfassungsgericht.de/SharedDocs/Entscheidungen/DE/2021/03/rs20210324_1bvr265618.html ↩︎

Federated Learning

von

1. Am Anfang steht das Training

Das Training moderner Künstlicher Intelligenz (KI), insbesondere großer Sprachmodelle, erfordert sehr große Mengen maschinenlesbarer Texte, um menschenähnliche Ergebnisse zu erzielen. Die Nutzung vorhandener Daten zu Trainingszwecken von KI-Modellen, insbesondere mit personenbezogenen Daten, ist rechtlich nicht unproblematisch.1

Gleichzeitig stellt sich auch aus technischer Sicht die Frage nach der Datenqualität, dem notwendigen Data Cleansing, der Repräsentativität und der Aktualität der Trainingsdaten. Diese Faktoren bestimmen maßgeblich die Leistungsfähigkeit eines Modells und beeinflussen Verzerrungen, sogenannte Bias. Zudem können bei Vorhersagen (Prediction) Abweichungen auftreten, wenn das Training der Modelle ausschließlich mit historischen Mustern (Patterns) stattfindet, die nicht ausreichend bereinigt sind. Unscharf Ergebnisse entstehen, wenn Korrelationen in den Daten nicht klar erkannt werden und die zugrunde liegenden KPIs für die Optimierung nicht eindeutig definiert sind.

2. Integrität und Vertraulichkeit

Neben der Zweckbindung ist im Rahmen der Verarbeitung personenbezogener Daten, deren Integrität und Vertraulichkeit zu gewährleisten. Die Datenverarbeitung muss daher unter anderem eine angemessene Sicherheit der personenbezogenen Daten gewährleisten, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung. Weiterhin ist der sogenannte Grundsatz der Datenminimierung zu beachten. Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein, d. h. es dürfen nur die Daten verarbeitet werden, zur Erreichung des zugrundliegenden Zwecks erforderlich sind.

Technisch bedeutet dies: Je geringer die Datenbewegung, desto niedriger das Risiko von Datenlecks oder Angriffen. Hier setzt Federated Learning an.

KI-System im medizinischen Bereich

Wird beispielsweise ein KI-System im medizinischen Bereich zur Bilderkennung trainiert und dabei Patientendaten verschiedener Kliniken verwendet, muss sichergestellt werden, dass keine unbefugten Personen Zugriff auf diese sensiblen Gesundheitsdaten erhalten. Datenschutzrisiken lassen sich zusätzlich durch eine Minimierung der Datenübertragung senken.

Medizinische Daten zählen zu den sensibelsten Informationen überhaupt. Sie unterliegen dem höchsten Schutzniveau nach DSGVO und AI-Act sowie branchenspezifischen Vorgaben, wie GxP (z. B. GMP, GCP) und internationalen Standards wie FDA 21 CFR Part 11 oder EMA-Richtlinien. Angriffe auf solche Daten sind nicht nur rechtlich kritisch, sondern können unmittelbar die Patientensicherheit gefährden. Daher müssen KI-Systeme in der Medizin validiert (CSV, CSA), auditierbar und revisionssicher betrieben werden. Der Betrieb geht mit strengen Maßnahmen, wie Ende-zu-Ende-Verschlüsselung, Zugriffsbeschränkungen, Audit-Logs und kontinuierlichem Monitoring einher.

3. Federated Learning (FL)

Der vom European Data Protection Supervisor (EDPS) und der spanischen Datenschutzbehörde (AEPD) diskutierte Ansatz ist das sogenannte Federated Learning (föderiertes Lernen). Dabei verbleiben die Daten dezentral bei den jeweiligen Einrichtungen. Eine zentrale Sammlung der Daten findet nicht statt.2

Was wird unter “Federated Learning” verstanden?

Anders als beim zentralisierten Machine Learning, bei dem alle Daten an einem Ort gesammelt werden, ermöglicht Federated Learning mehreren Datenquellen, ein gemeinsames Modell zu trainieren, während die Rohdaten lokal auf den jeweiligen Geräten verbleiben. Lediglich die Modell-Updates (z. B. Parameter, Gradienten) werden geteilt.

Rohdaten bleiben wo sie sind – Compute to data

So trainiert eine Klinik mit den eigenen Patientendaten unmittelbar nur ihr eigenes Modell, etwa auf den eigenen Geräten oder den eigenen Server. Geteilt werden dann nur die abstrakten Lernergebnisse (Parameter, Gradienten, …), also die mathematische Anpassungen, die das Modell lokal gelernt hat.

So können Modelle trainiert werden, während die Daten dezentral gehalten werden.

Der Austausch kann dabei von Gerät zu Gerät erfolgen oder über einen Server zentral getauscht werden.

KI lernt dazu aber die Daten landen nicht irgendwo zentral

Mit einem solchen dezentralen Ansatz könnte sichergestellt werden, dass personenbezogene Daten unter der Kontrolle des Verantwortlichen, hier der Klinik, bleibt und nicht an externe Parteien und andere Einrichtungen weitergegeben werden müssten, ohne innovationsverhindernd zu sein.  Ein weiterer Vorteil, den der Verzicht eines großen Datenspeichers mit sich bringt, ist in ein geringeres Risiko im Falle eines Datenlecks. Allerdings erhöht sich durch die Vielzahl dezentraler Speicherorte auch die Angriffsfläche für potenzielle Angreifer.

Zudem könnte das Einwilligungsmanagement transparenter gestaltet werden, da leicht verständlich ist, wo die Daten verarbeitet werden.  

In der Praxis wird Federated Learning heute u. a. bereits bei Smartphones (z. B. Google Gboard), Wearables (z. B. SmartWatches), im Bankensektor und in der Medizin erprobt. Es gilt als State-of-the-Art für Privacy-Preserving AI.

4. Technische Herausforderungen

Obwohl Federated Learning aus Datenschutzsicht viele Vorteile bietet, bestehen weiterhin technische Herausforderungen bei der praktischen Umsetzung.

Kann man trotzdem Informationen über die Modell-Updates herausziehen?

Die geteilten Modell-Updates sind nicht zwangsläufig anonym. Sie können Informationen enthalten, die Rückschlüsse auf die Trainingsdaten ermöglichen (sogenannte „Membership Inference Attacks“3).

Weiterhin können die Daten der einzelnen Modell-Updates unterschiedlich, verzerrt oder fehlerhaft sein, so dass sich daraus für das Gesamt-KI-System Probleme im Hinblick auf die Datenqualität ergeben können.  

Auch die Synchronisierung von Updates bei unterschiedlichen Bandbreiten, Endgeräten oder Servern ist aktuell eine offene technische Herausforderung.

Maßnahmen

Um diesen Risiken zu begegnen, empfiehlt sich der Einsatz von Sicherheitsmaßnahmen, wie Verschlüsselung der gespeicherten Daten, Secure Multi-Party Computation oder Secure Aggregation. Diese kryptografischen Methoden ermöglichen Berechnungen auf verteilten Daten, ohne dass einzelne Datenpunkte offengelegt werden. Trusted Execution Environments (TEE) können eine geschützte Ausführungsumgebung bieten, während Differential Privacy durch gezielte Störsignale das Risiko einer Identifizierbarkeit einzelner Personen weiter senkt.

Zusätzlich können spezialisierte Monitoring-Tools eingesetzt werden, um Modellintegrität und Qualitätskontrollen sicherzustellen. Dazu zählen, zum Beispiel Hashing- und Secure-Aggregation-Frameworks wieTensorFlow Federated, OpenMined, PySyft, etc. zur Manipulationserkennung, Anomaly-Detection-Tools wie PyOD, MLflow, etc. zur Identifikation fehlerhafter Updates sowie Fairness- und Bias-Monitoring (z. B. IBM AI Fairness 360). Durch Logging- und Versionierungssysteme wie MLflow oder Weights & Biases lassen sich föderierte Trainingsprozesse zudem transparent und revisionssicher nachvollziehen.

Hinweis: In produktiven Föderationsprojekten (Medizin, Banken, Automotive) wird oft eine Kombination eingesetzt, ergänzt durch eigene Security-/Audit-Layer (z. B. Blockchain-Audit-Trails, Differential Privacy).

5. Fazit

Insgesamt stellt Federated Learning kein Allheilmittel dar, bietet aber gegenüber zentralisiertem Machine Learning deutliche Vorteile für den Datenschutz. Herausforderungen, wie Datenqualität und technische Komplexität, müssen jedoch adressiert und durch geeignete Schutzmaßnahmen flankiert werden.

Richtig umgesetzt kann es ein Schlüsselbaustein sein, um KI-gestützte Innovationen mit den Anforderungen an Datenschutz, Datensouveränität und Sicherheit in Einklang zu bringen – insbesondere in sensiblen Bereichen wie Medizin, Finanzwesen oder kritischer Infrastruktur.


Federated Learning ist ein State-of-the-Art-Ansatz, um KI-Modelle datenschutzfreundlich zu trainieren, ohne Rohdaten zu bewegen:

  • In der Forschung gilt es als moderner Ansatz für Privacy-Preserving AI.
  • In der Industrie ist es eher „auf dem Weg dahin“. Es existieren viele Pilotprojekte, aber auch noch technische Hürden (z. B. Datenqualität, Angriffe auf Modell-Updates, Standardisierung).
  • Wird durch ISO 42001 (KI-Management) und den AI-Act indirekt relevanter, weil es Datenschutz- und Souveränitätsfragen elegant adressiert.

Es ist nicht „die Lösung für alles“, aber gerade in Europa hochaktuell, weil es die rechtlichen Vorgaben bei der technischen Entwicklung vereinen kann.

Bei Interesse, Fragen und Austausch zu dem Thema oder wenn das für Ihr KI-Modell als Lösung interessant ist, kommen Sie gerne auf uns zu und melden sich hier.

  1. vgl. How much data from the public Internet is used for training LLMs? | by Michael Humor | GoPenAI ↩︎
  2. s. https://www.edps.europa.eu/system/files/2025-06/techdispatch_federated-learning_en.pdf ↩︎
  3. vgl. https://arxiv.org/abs/2103.07853 ↩︎

AUTOREN

Sascha Scheffler ist diplomierter Maschinenbauingenieur und Experte für digitale Transformation. Er ist zertifizierter Lean Administration Expert, hat einen Master in Business with AI (MBAI®) und ist derzeit in Ausbildung zum AI Integration Expert.

Matthias Rosa ist Rechtsanwalt und Fachanwalt für IT-Recht und schwerpunktmäßig im Datenschutz- und KI-Recht tätig.

Der Data Act und seine Auswirkungen auf die Windenergie

von

1. Einleitung

Seit dem 12. September 2025 greift der Data Act der Europäischen Union (EU) und betrifft insbesondere Unternehmen der Windenergie-Branche. Vom intelligenten Sensor an der Windturbine über digitale Wartungssysteme bis hin zu vernetzten Windparks, ist das Internet der Dinge (IoT) längst bei den erneuerbaren Energien angekommen. Die Nutzung dieser Daten gewinnt durch den Einsatz künstlicher Intelligenz (KI) zunehmend an Attraktivität und wirtschaftlicher Bedeutung. 

2. Was regelt der Data Act?

Bislang verfügen häufig allein die Hersteller vernetzter Produkte oder Anbieter verbundener Dienste über die durch IoT-Geräte gesammelten Daten. Der Data Act soll für eine faire Wertschöpfungskette sorgen und regelt den gerechten Datenzugang sowie die faire Nutzung von Daten, die beim Einsatz von IoT entstehen. 

Profitieren sollen nicht nur Hersteller smarter Produkte bzw. verbundener Dienste, sondern auch die Nutzer – etwa Betreiber von Windenergieanlagen. Sie erhalten mehr Kontrolle darüber, wer ihre Daten einsehen und nutzen darf. 

3. Neue Möglichkeiten zur Datennutzung

Sensordaten einer Windturbine lagen bisher häufig exklusiv beim Hersteller. Der Data Act räumt dem Nutzer nun ein Zugangsrecht zu diesen Daten ein – einschließlich der Rohdaten. 

4. Kernbereiche des Data Acts

4.1 Datenzugang

Herzstück des Data Acts ist der Zugang zu Daten, die von vernetzten Produkten oder verbundenen Diensten erzeugt werden. 

Pflichten für Hersteller

Hersteller sind verpflichtet, den Datenzugang möglichst einfach zu gestalten. Dies soll etwa über eine Schnittstelle am Gerät oder ein Onlineportal geschehen. Das ist besonders relevant für Unternehmen, die solche Daten bislang ausschließlich für eigene Zwecke genutzt haben.

Selbst wenn bestimmte Daten bereits über ein Portal bereitgestellt werden, stellt sich mit dem Data Act die Frage nach dem Umfang: Eine Windenergieanlage kann beispielsweise mehrere zehntausend Fehlermeldungen, Warnungen und Systemhinweise erzeugen. 

Umfang der bereitzustellenden Daten 

Der Umfang ergibt sich aus Art. 2 Abs. 17 Data Act:

„Bereitzustellen sind solche Daten, die der sogenannte Dateninhaber ohne unverhältnismäßigen Aufwand rechtmäßig vom vernetzten Produkt oder verbundenen Dienst erhält oder erhalten kann.“

Das Zugangsrecht umfasst bei der Nutzung erstellte Daten, sowohl personenbezogene als auch nicht personenbezogene Daten. 

Datenschutzrechtliche Vorgaben

Beim Zugang zu personenbezogenen Daten gelten vorrangig die Regelungen der Datenschutz-Grundverordnung (DSGVO). Der Nutzer benötigt eine Rechtsgrundlage nach Art. 6 DSGVO. Personenbezogene Daten Dritter können aus Sicht eines Unternehmens auch die eigenen Beschäftigten betreffen. Eine Lösung kann die Anonymisierung bieten, da anonymisierte Daten vom Anwendungsbereich der DSGVO ausgenommen sind. 

Praxisbeispiel: Betriebsführer und Vergleichsanlagen

Verwaltet ein Betriebsführer Windenergieanlagen verschiedener Betreiber, darf er nicht ohne Weiteres alle Anlagendaten nutzen – etwa für sogenannte Ausfallberechnungen gegenüber Versicherungen. 

Bei einem Anlagenausfall zahlt die Versicherung den entgangenen Ertrag auf Basis der theoretisch möglichen Stromproduktion. Diese wird anhand von Vergleichsanlagen berechnet – also Anlagen desselben Herstellers und Typs in vergleichbarer Umgebung (z. B. im rheinhessischen Bergland). Gehören diese Anlagen unterschiedlichen Betreibern, greift der Data Act. Eine Nutzung dieser Daten erfordert dann beispielsweise eine vertragliche Grundlage. 

4.2 Notstandsregelung 

Behörden können Unternehmen unter bestimmten außergewöhnlichen Voraussetzungen, etwa bei Naturkatastrophen oder akuter Energieknappheit, verpflichten, bestimmte Daten herauszugeben. Voraussetzung ist, dass diese Daten dringend zur Bewältigung der Notlage benötigt werden und nicht anders beschaffbar sind. 

Bereitstellung und Ablehnungsfristen 

Die Daten sind grundsätzlich unverzüglich bereitzustellen. Um den Aufwand zu minimieren, sind technische, organisatorische und rechtliche Maßnahmen zu berücksichtigen. „Bereitstellen“ bedeutet nicht zwingend Übermittlung – eine sogenannte In-situ-Bereitstellung direkt am vernetzten Produkt genügt. 

Unternehmen können ein behördliches Datenverlangen ablehnen, müssen dies jedoch unverzüglich, spätestens innerhalb von fünf Arbeitstagen nach Eingang tun. In allen anderen Fällen außergewöhnlicher Notwendigkeit beträgt die Ablehnungsfrist 30 Arbeitstage. 

4.3 Cloud Switching

Um sogenannte „Lock-in-Effekte“ zu verhindern – also die Bindung an einen Anbieter, weil ein Wechsel zu kompliziert, zu teuer oder mit Datenverlust verbunden wäre -, verpflichtet der Data Act, Anbieter von Datenverarbeitungsdiensten, technische und vertragliche Hürden abzubauen. 

Der „Umzug“ eigener Daten von einem Cloud-Service zu einem anderen soll einfacher und unkomplizierter werden. Anbieter müssen den Wechsel innerhalb von maximal 30 Tagen ermöglichen. Vertragsklauseln, die einen Wechsel behindern, sind unwirksam. 

Der Data Act stärkt damit die Datensouveränität und ermöglicht die nahtlose Fortführung der eigenen Datenhistorie bei einem neuen Anbieter. 

Beispiel: Betreiber cloudbasierter Asset-Management- und SCADA-Software sollen künftig leichter den Anbieter wechseln können.

5. Schutz von Geschäftsgeheimnissen

Ein zentrales Anliegen des Data Acts ist der Schutz von Geschäftsgeheimnissen und vertraulichen Informationen, insbesondere wenn Unternehmen verpflichtet werden, solche Daten an Nutzer oder Dritte weiterzugeben. Der Data Act erkennt dieses Schutzbedürfnis ausdrücklich an. 

6. Keine Pflicht ohne Schutzmaßnahmen

Unternehmen, die Daten bereitstellen müssen, sind nicht verpflichtet, Geschäftsgeheimnisse oder vertrauliche Informationen preiszugeben, sofern keine angemessenen Schutzmaßnahmen getroffen werden (Art. 4 Abs. 6, Art. 8 Abs. 6). 

Das bedeutet: 

  • Der Datenempfänger muss geeignete Maßnahmen zum Schutz der erhaltenen Geschäftsgeheimnisse treffen. 
  • Es dürfen keine Daten weitergegeben werden, wenn dies mit einem unvertretbaren Risiko für die Preisgabe von Geschäftsgeheimnissen verbunden wäre. 

7. Vertragliche und technische Schutzmaßnahmen

Die Parteien können vertraglich festlegen, wie Geschäftsgeheimnisse geschützt werden – etwa über: 

  • Vertraulichkeitsvereinbarungen (NDAs) 
  • Beschränkungen der Nutzung und Weitergabe 
  • Technische Zugriffsbeschränkungen 

Der Data Act sieht vor, dass Empfänger von Daten, die Geschäftsgeheimnisse enthalten, diese nicht für eigene Zwecke außerhalb der vereinbarten Nutzung verwenden dürfen. 

Wenn trotz aller Maßnahmen ein unvertretbares Risiko für die Offenlegung von Geschäftsgeheimnissen besteht, können Unternehmen die Herausgabe verweigern.

8. Beispiel für die Windenergie-Branche

Befürchtet ein Windturbinen-Hersteller, dass durch die Herausgabe von Sensordaten an Betreiber oder Dritte sensible Informationen – etwa zu Algorithmen, Betriebsstrategien oder Wartungsprozessen – offengelegt werden, kann er Schutzmaßnahmen verlangen. Erst wenn diese vereinbart und umgesetzt sind, muss er die Daten bereitstellen. Kommt es dennoch zu einem unvertretbaren Risiko, kann die Herausgabe abgelehnt werden.

9. Fazit

Der Data Act stellt einen Paradigmenwechsel dar. Er versucht, die enorme wirtschaftliche Kraft, die in den Daten des Internets der Dinge steckt, für alle nutzbar zu machen, während er gleichzeitig die Grundrechte des Datenschutzes wahren will. Dieses Spannungsfeld zwischen Öffnung und Schutz wird Hersteller und Anwender in den kommenden Jahren intensiv beschäftigen. 

Für Betreiber und Betriebsführer von Windenergieanlagen ist dies ein echter Gewinn: Kein Betteln mehr um Daten. Der Data Act liefert den rechtlichen Hebel zur Daten-Demokratisierung. 

Die entscheidende Frage für Unternehmen wird nun sein: Wie werden die Kompetenzen und die technische Infrastruktur aufgebaut, um aus dieser neuen Datenflut nicht nur Compliance-Pflichten, sondern echte Wettbewerbsvorteile zu generieren?

AUTOREN

Michael Darnieder ist Geschäftsführer der TEDEXA GmbH, KI-Experte und Redner zu KI-Themen. TEDEXA bietet 360-Grad-KI-Beratung und Produktentwicklung sowie individuelle Softwareentwicklung, insbesondere in der Branche der erneuerbaren Energien an.

Matthias Rosa ist Rechtsanwalt und Fachanwalt für IT-Recht und schwerpunktmäßig im Datenschutz-, KI- und Datenrecht tätig.