EU-Digitalgesetzgebung
DA-Update - Episode 6: Anspruch auf Weitergabe von Daten an Dritte – Herausforderungen bei der parallelen Geltendmachung nach DA und DSGVO
Der Data Act (DA) enthält mit Art. 5 DA eine Regelung zur Datenportabilität. Demnach muss der Dateninhaber auf Verlangen des Nutzers Daten an Dritte bereitstellen. Ähnlichkeiten bestehen zu dem Recht auf Datenübertragbarkeit aus Art. 20 Abs. 1 DSGVO. Beide Normen gewähren im Grundsatz einen ähnlichen Anspruch, wobei entscheidende Unterschiede in der Ausgestaltung der Ansprüche bestehen. Insbesondere unterscheidet sich die Frist, innerhalb derer das Verlangen beantwortet werden muss. Nachfolgend werden die beiden Ansprüche dargestellt und Unterschiede aufgezeigt. Im Anschluss wird die Frage geklärt, in welchem Verhältnis die beiden Regelungen zueinander stehen, welche Fristenregelung also bei dem Verlangen einer Person auf Weitergabe von Daten an Dritte für Unternehmen maßgeblich ist.
Art. 20 DSGVO
Art. 20 DSGVO berechtigt betroffene Personen nicht nur, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, zu erhalten. Vielmehr muss der Verantwortliche diese Daten auf Verlangen der betroffenen Person auch einem anderen Verantwortlichen übermitteln.
Für die Bereitstellung oder Übermittlung der Daten sieht Art. 20 DSGVO unmittelbar keine zeitliche Vorgabe vor. Zwar verpflichtet Art. 12 Abs. 3 S. 1 Hs. 1 DSGVO den datenschutzrechtlich Verantwortlichen, der betroffenen Person Informationen über die auf Antrag gemäß den Art. 15 bis 22 DSGVO ergriffenen Maßnahmen unverzüglich zur Verfügung zu stellen. Nach Art. 12 Abs. 3 S. 1 Hs. 2 DSGVO stellt der Verantwortliche die Informationen in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Es ist sogar eine Verlängerung dieser Frist um zwei weitere Monate möglich (Art. 12 Abs. 3 S. 2 DSGVO).
Art. 5 DA
Im Rahmen des Anspruchs auf Weitergabe von Daten an Dritte aus Art. 5 DA ist der Dateninhaber verpflichtet, die Daten unverzüglich dem Dritten bereitzustellen. Eine Monatsfrist oder eine Möglichkeit der Fristverlängerung wird hier jedoch nicht genannt. Die Person, welche die Übermittlung ihrer Daten an einen Dritten verlangt (Nutzer gemäß DA und / oder betroffene Person nach DSGVO), wird regelmäßig nicht präzisieren, auf welche Rechtsgrundlage (DA oder DSGVO) sie ihr Verlangen stützt. Es stellt sich also für Unternehmen, welche dem DA unterfallen, die Frage, in welchem zeitlichen Rahmen eine Datenweitergabe auf Verlangen einer Person durchgeführt werden muss: unverzüglich nach Art. 5 DA oder jedenfalls innerhalb eines Monats mit Verlängerungsmöglichkeit nach Art. 12 Abs. 3 DSGVO. Bei der Beantwortung dieser Frage ist das Verhältnis der beiden Regelungen zueinander maßgeblich.
Verhältnis der beiden Regelungen
Die Frage nach dem Verhältnis der beiden Regelungen stellt sich freilich nur, wenn beide Regelungen überhaupt anwendbar sind. Das heißt, Unternehmen müssen dem DA unterfallen und es muss sich bei den zu übertragenden Daten um personenbezogene Daten handeln, damit die DSGVO anwendbar ist
Die Erwägungsgründen geben erste Hinweise auf das grundsätzliche Verhältnis von DA und DSGVO sowie bezüglich der Informationspflichten. So heißt es in Erwägungsgrund 7 des DA: „Die vorliegende Verordnung ergänzt das Unionsrecht zum Datenschutz und zum Schutz der Privatsphäre, insbesondere die Verordnung (EU) 2016/679 und die Richtlinie 2002/58/EG, und lässt es unberührt.“ Die Informationspflichten nach dem DA, welche für Transparenz in Bezug auf die erzeugten Daten sorgen und den einfachen Zugang für den Nutzer verbessern sollen, berühren nicht die Pflicht des Verantwortlichen, der betroffenen Person Informationen gemäß den Art. 12, 13 und 14 DSGVO zu übermitteln (DA ErwG 23).
Auch auf Art. 20 DSGVO wird im DA Bezug genommen. Zwar findet sich in ErwG 31 des DA sowie Art 1 Abs. 3 DA die Aussage, dass der DA das in Art. 20 DSGVO vorgesehene Recht auf Datenübertragbarkeit ergänzt. Wie Art. 20 DSGVO und Art. 5 Abs. 1 DA im Kollisionsfall konkret zueinanderstehen, lässt der DA allerdings offen.
Wie soeben aufgezeigt, kann es bei paralleler Geltendmachung zu Widersprüchen bezüglich der einzuhaltenden Frist kommen. Welche Frist nun gilt, ließe sich einfach beantworten, wenn die die Datenweitergabe fordernde Person immer die Rechtsgrundlage nennen würde. Dies wird wohl allerdings im Regelfall nicht vorkommen. Deshalb könnte man unterstellen, dass sich der Antragsteller auf die für ihn günstigere Regelung beruft. Anderes kann nur gelten, sofern sich die Person explizit auf die Datenweitergabe nach nur einer der beiden Verordnungen beruft. Demnach wäre in den meisten Fällen eine unverzügliche Bereitstellung der Daten, wie sie im DA vorgesehen ist, durchzuführen. Mit dem DA kommt es also zu einer Verschärfung der Fristenregelungen für Verpflichtungen von Unternehmen, die es zumindest ähnlich bereits in der DSGVO gibt und für die in der DSGVO noch längere Fristen oder flexiblere Regelungen vorgesehen waren.
Weitere Unterschiede
Daneben gibt es bei der Datenportabilität noch einige weitere „Verschärfungen“ im Zuge des DA im Verhältnis zur DSGVO:
- Im Unterschied zu Art. 20 DSGVO sieht Art. 5 Abs. 1 S. 1 DA vor, dass die Informationen „soweit relevant und technisch machbar, kontinuierlich und in Echtzeit“ zur Verfügung gestellt werden müssen.
- Der datenschutzrechtlich Verantwortliche kann sich im Fall von offenkundig unbegründeten oder exzessiven Anträgen einer betroffenen Person gemäß Art. 12 Abs. 5 S. 2 lit. b) DSGVO weigern, aufgrund des Antrags tätig zu werden. Eine solches ausdrücklich geregeltes Verweigerungsrecht zugunsten des Dateninhabers fehlt im DA. Allerdings könnte ein solches Verweigerungsrecht gestützt auf den Grundsatz des Missbrauchsverbots als vom EuGH bestätigter allgemeiner Grundsatz des Unionsrecht auch im Rahmen des DA in bestimmten Fällen zum Tragen kommen.
- Die Anspruchsverpflichteten nach Art. 20 DSGVO und Art. 5 Abs. 1 S. 1 DA können unterschiedlich sein. Art. 20 DSGVO verpflichtet den Verantwortlichen während Art. 5 Abs. 1 S. 1 DA den Dateninhaber verpflichtet. Dateninhaber kann in bestimmten Konstellationen neben dem Verantwortlichen auch beispielsweise der Auftragsverarbeiter sein.
Empfehlungen für die Praxis
Wie vorstehend gezeigt, müssen Unternehmen im Rahmen der Vorschriften des DA über die Datenweitergabe eine Reihe von Anforderungen beachten. Dabei kann es im Vergleich zur DSGVO zu einer Verschärfung der Fristenregelungen kommen und auch die weiteren Anforderungen des DA bei der Datenweitergabe gehen teilweise über die der DSGVO hinaus. Insgesamt werden sich Unternehmen immer wieder die Frage stellen müssen, welche der beiden Verordnungen inwieweit anwendbar ist oder ob im konkreten Fall beide gemeinsam Anwendung finden. Bei paralleler Geltendmachung von Ansprüchen könnte man davon ausgehen müssen, dass sich der Antragsteller auf die für ihn günstigere Regelung beruft, sodass eine unverzügliche Bereitstellung der Daten, wie sie im DA vorgesehen ist, durchzuführen ist und auch die weiteren „strengeren“ Anforderungen des DA einzuhalten sind.
In unserer DA-Update-Reihe präsentieren wir Ihnen regelmäßig Informationen zu dem geplanten Data Act der Europäischen Union und halten Sie über Änderungen im laufenden Gesetzgebungsverfahren informiert. In jedem unserer Beiträge geben wir Ihnen einen kurzen Überblick über einen konkreten Themenbereich und stellen Ihnen dabei die wichtigsten Aspekte und praktische Auswirkungen vor.
DA-Update
DA-Update – Episode 8: Wann gilt der Data Act für Verkäufer von Produkten / Betreiber von Online-Shops und was ist zu beachten?
Der Data Act (im Folgenden „DA“) gilt (größtenteils) ab dem 12. September 2025, während einzelne zentrale Vorschriften ein Jahr später in Kraft treten werden. Allerdings herrscht bei vielen Verkäufern und Online-Shop-Betreibern noch Unsicherheit darüber, was das in der Praxis bedeutet.
DA-Update – Episode 7: Der Hersteller-Begriff nach dem Data Act
Am 27. November 2023 hat der Rat der Europäischen Union die „Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung“ (Data Act/ DA) verabschiedet. Diese Verordnung trat nach ihrer Verkündung im Amtsblatt der EU am 11. Januar 2024 in Kraft. Nach einer Übergangsfrist von 20 Monaten gilt sie ab dem 12. September 2025 EU-weit. Art. 3 Abs. 1 DA ist jedoch erst ab dem 12. September 2026 für vernetzte Produkte und zugehörige Dienste anwendbar.
Die Verordnung ist für viele Branchen relevant, doch bleibt eine zentrale Frage weitgehend unbeantwortet: Ab wann gilt jemand als Hersteller im Sinne des DA?
DA-Update - Episode 6: Anspruch auf Weitergabe von Daten an Dritte – Herausforderungen bei der parallelen Geltendmachung nach DA und DSGVO
Der Data Act (DA) enthält mit Art. 5 DA eine Regelung zur Datenportabilität. Demnach muss der Dateninhaber auf Verlangen des Nutzers Daten an Dritte bereitstellen. Ähnlichkeiten bestehen zu dem Recht auf Datenübertragbarkeit aus Art. 20 Abs. 1 DSGVO. Beide Normen gewähren im Grundsatz einen ähnlichen Anspruch, wobei entscheidende Unterschiede in der Ausgestaltung der Ansprüche bestehen. Insbesondere unterscheidet sich die Frist, innerhalb derer das Verlangen beantwortet werden muss. Nachfolgend werden die beiden Ansprüche dargestellt und Unterschiede aufgezeigt. Im Anschluss wird die Frage geklärt, in welchem Verhältnis die beiden Regelungen zueinander stehen, welche Fristenregelung also bei dem Verlangen einer Person auf Weitergabe von Daten an Dritte für Unternehmen maßgeblich ist.
DA-Update - Episode 5: Wechsel zwischen Datenverarbeitungsdiensten und Interoperabilität
Kapitel VI des Entwurfs des Data Act (DA-E) enthält Bestimmungen über den Wechsel zwischen Datenverarbeitungsdiensten. Dazu zählen insbesondere Cloud- und Edge-Services. Anbieter von Datenverarbeitungsdiensten werden verpflichtet, den Wechsel zu konkurrierenden Dienstleistern zu erleichtern. Zu diesem Zweck sollen Hindernisse zwischen Anbietern von Datenverarbeitungsdiensten beseitigt werden.
DA-Update - Episode 4: Anforderungen im Rahmen der Datenweitergabe
Nach dem Entwurf des Data Act (DA-E) muss der Dateninhaber auf Verlangen des Nutzers Daten auch an Dritte bereitstellen. Im Rahmen des Rechts des Nutzers auf Datenweitergabe muss der Dateninhaber eine Reihe von Anforderungen beachten.
DA-Update - Episode 3: Pflichten im Rahmen des Datenzugangs
Der Entwurf des Data Act (DA-E) regelt die Bereitstellung von Daten an den Nutzer, Dritte sowie an öffentliche Stellen. Im Folgenden wird der Datenzugangsanspruch des Nutzers nach Art. 3 DA-E dargestellt (zur Erinnerung, „Nutzer“ ist eine natürliche oder juristische Person, die ein Produkt besitzt, mietet oder least oder eine Dienstleistung in Anspruch nimmt, vgl. Art. 2 Nr. 5 DA-E). Unternehmen, die nach dem DA-E als Dateninhaber gelten, werden im Rahmen des Datenzugangsanspruchs des Nutzers eine Reihe von Pflichten auferlegt.
DA-Update - Episode 1: Auf welche Produkte findet der Data Act- Entwurf Anwendung?
Die Europäische Kommission hat einen Entwurf für eine Verordnung des Europäischen Parlaments und des Rates über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung (Datengesetz) vorgelegt, zu dem das Europäische Parlament und der Rat der Europäischen Union inzwischen auch Änderungsvorschläge veröffentlicht haben (zu den einzelnen Entwürfen können Sie sich in unserer Übersicht zur EU-Digitalgesetzgebung informieren). Im Folgenden dient der Kommissionsentwurf als Grundlage (nachfolgend „DA-E“). Wo nötig, werden Unterschiede aufgrund der Entwürfe von Parlament und Rat dargestellt.