欧洲数据战略——数据保护又如何？

fabiha01

欧洲数据战略旨在使欧盟走在数据驱动型社会的前沿。单一数据市场将实现欧盟范围内跨部门的数据共享，造福企业、研究人员和公共行政部门。欧盟委员会是这样描述的。

前景确实光明！ …但是数据保护又如何呢？
ditis在其实践研讨会“数据法、数字服务法、人工智能法——以及它们如何与数据保护相结合？”中探讨了这个问题。在今年秋天。本文将从本次实践研讨会的角度探讨《数据法》的数据保护方面。

数据法
我们已经在这里详细报道了数据法案（DA-E） 。不过，在欧盟理事会和欧盟议会于2023年6月就最终文本达成政治协议后，该法规的生效仍有待观察。

在实践研讨会上，除了《数据法》中已知的方面（另见我们的文章）之外，还强调了数据保护的重要点，包括：提供信息的义务和数据处理的合法性（关键词：法律依据）。

提醒一下，数据法旨在规范谁可以访问或必须授予对通过联网设备（例如汽车或智能家居设备）生成的数据的访问权限。同时，DA-E 第 1 条第 3 款明确规定，GDPR 的适用性不受该法规的影响。

信息义务
DA-E 第 3 条第 2 款规定，在签订购买、租赁或租用产品或相关服务的合同之前，应以清晰易懂的形式向用户提供信息，意大利商业传真列表 包括使用产品时的数据处理、用户访问数据的选项以及产品制造商或服务提供商的意图，即是否以及如果是，哪些数据应该用于什么目的和/或传递给第三方。

DA-E 第 23 条 (EC) 进一步指出，提供信息的义务不影响数据控制者根据 GDPR 第 13 条和第 14 条向数据主体提供信息的义务。因此，数据保护条例草案（DA-E）第 1 条第（3）款规定了数据保护条例草案（DA-E）对 GDPR 的不影响性质。

我想用我自己的例子来说明我认为这里可能出现的问题：
桑德拉（=用户）为与彼得（=其他受影响的人）共享的家庭购买了一台咖啡机。具有用户偏好、语音输入、个人应用程序控制等功能的智能设备（此处，应用程序中对用户数据的处理或用户和数据主体的语音将根据 GDPR 构成个人参考）。该设备来自制造商 A-Kaffee（=数据所有者），该公司负责控制咖啡机的技术设计并提供应用程序。

根据艺术信息义务。 3 针对 Sandra 作为用户的 2 号 DA-E 可以在购买时满足，例如B. 通过设备插入和通过应用程序。此外，可以通过信息传单或附加在设备上的二维码向数据主体和其他数据主体提供GDPR 规定的设备或相关服务（例如应用程序）中数据处理的信息义务。然而，当数据被转移给第三方（新的处理目的）而数据主体不是用户时，如何履行GDPR 规定下的信息义务是值得怀疑的，例如B. 是桑德拉和彼得的客人，他们使用语音输入与有问题的咖啡机进行互动。根据 GDPR，提供信息的义务落在负责数据处理的人员身上。这是数据所有者 A-Kaffee 还是发起传输的用户 Sandra（DA-E 第 3（2）（g）条）？ GDPR 的家庭例外（GDPR 第 2（2）（c）条）不适用于桑德拉吗？关于 GDPR 和 DA-E 共存的实际实施显然仍存在一些悬而未决的问题。为了完整起见，这里参考了 DA-E 第 7（1）条规定的微型和小型企业数据传输义务的例外情况。

到目前为止，一切都很好。让我们来谈谈数据处理的法律基础
一段时间后，Sandra 希望将设备上存储的数据和连接的服务传输给服务提供商 B-Kaffee（=数据接收者），并根据 DA-E 与数据所有者 A-Kaffee 进行安排。

在 ditis 实践研讨会上，除了信息义务外，还强调了处理个人数据所需的法律依据：Art. 4（5）和艺术。 5 (6) DA-E 规定，如果用户不是数据主体，则在使用产品或相关服务期间生成的个人数据只有在根据第 5 条具有有效的法律依据的情况下才可以向用户或第三方提供。 6 (1) GDPR 以及（如果适用）Art. 6 的条件。 9 GDPR 均已满足。我认为，DA 草案第 24 条更清楚地表明了这一点：DA 草案并未根据 GDPR 创建法律依据！因此，根据 DA-E 传输数据的义务不能被视为第 14 条规定的法律义务。 6（1）（c） GDPR，因此作为数据处理的法律依据。

因此，在我们的示例中，A-Kaffee 需要一个法律依据来将 Peter 和任何其他数据主体的个人数据传输给 B-Kaffee，例如B. 同意。如果用户（发起数据传输的人）被视为 GDPR 意义上的控制者（见上文），则同样适用此规定。同意作为数据处理的法律依据——尤其是在数据主体数量未知的情况下——在这里似乎不切实际。根据《第 14 条》的合法利益进行数据传输可能是合理的。 GDPR 第 6（1）（f）条。根据适用的法律情况（DA-E），A-Kaffee 可能对数据处理拥有合法权益。用户作为自己的控制者，可能必须证明其他合法利益。但需要注意的是，如果未成年人数据或健康数据等敏感信息受到影响，合法利益可能不适合作为法律依据。此外，原则上应考虑哪些个人数据传输给第三方，以及这对于传输的预期目的是否确实有必要。如果有疑问，则应将数据设为不可识别（注意：匿名化也构成数据处理，并且需要 GDPR 下的法律依据；合法利益也可以在这里考虑）。