Der Data Act (DA) enthält mit Art. 5 DA eine Regelung zur Datenportabilität. Demnach muss der Dateninhaber auf Verlangen des Nutzers Daten an Dritte bereitstellen. Ähnlichkeiten bestehen zu dem Recht auf Datenübertragbarkeit aus Art. 20 Abs. 1 DSGVO. Beide Normen gewähren im Grundsatz einen ähnlichen Anspruch, wobei entscheidende Unterschiede in der Ausgestaltung der Ansprüche bestehen. Insbesondere unterscheidet sich die Frist, innerhalb derer das Verlangen beantwortet werden muss. Nachfolgend werden die beiden Ansprüche dargestellt und Unterschiede aufgezeigt. Im Anschluss wird die Frage geklärt, in welchem Verhältnis die beiden Regelungen zueinander stehen, welche Fristenregelung also bei dem Verlangen einer Person auf Weitergabe von Daten an Dritte für Unternehmen maßgeblich ist.

Art. 20 DSGVO

Art. 20 DSGVO berechtigt betroffene Personen nicht nur, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, zu erhalten. Vielmehr muss der Verantwortliche diese Daten auf Verlangen der betroffenen Person auch einem anderen Verantwortlichen übermitteln.

Für die Bereitstellung oder Übermittlung der Daten sieht Art. 20 DSGVO unmittelbar keine zeitliche Vorgabe vor. Zwar verpflichtet Art. 12 Abs. 3 S. 1 Hs. 1 DSGVO den datenschutzrechtlich Verantwortlichen, der betroffenen Person Informationen über die auf Antrag gemäß den Art. 15 bis 22 DSGVO ergriffenen Maßnahmen unverzüglich zur Verfügung zu stellen. Nach Art. 12 Abs. 3 S. 1 Hs. 2 DSGVO stellt der Verantwortliche die Informationen in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Es ist sogar eine Verlängerung dieser Frist um zwei weitere Monate möglich (Art. 12 Abs. 3 S. 2 DSGVO).

Art. 5 DA

Im Rahmen des Anspruchs auf Weitergabe von Daten an Dritte aus Art. 5 DA ist der Dateninhaber verpflichtet, die Daten unverzüglich dem Dritten bereitzustellen. Eine Monatsfrist oder eine Möglichkeit der Fristverlängerung wird hier jedoch nicht genannt. Die Person, welche die Übermittlung ihrer Daten an einen Dritten verlangt (Nutzer gemäß DA und / oder betroffene Person nach DSGVO), wird regelmäßig nicht präzisieren, auf welche Rechtsgrundlage (DA oder DSGVO) sie ihr Verlangen stützt. Es stellt sich also für Unternehmen, welche dem DA unterfallen, die Frage, in welchem zeitlichen Rahmen eine Datenweitergabe auf Verlangen einer Person durchgeführt werden muss: unverzüglich nach Art. 5 DA oder jedenfalls innerhalb eines Monats mit Verlängerungsmöglichkeit nach Art. 12 Abs. 3 DSGVO. Bei der Beantwortung dieser Frage ist das Verhältnis der beiden Regelungen zueinander maßgeblich.

Verhältnis der beiden Regelungen

Die Frage nach dem Verhältnis der beiden Regelungen stellt sich freilich nur, wenn beide Regelungen überhaupt anwendbar sind. Das heißt, Unternehmen müssen dem DA unterfallen und es muss sich bei den zu übertragenden Daten um personenbezogene Daten handeln, damit die DSGVO anwendbar ist

Die Erwägungsgründen geben erste Hinweise auf das grundsätzliche Verhältnis von DA und DSGVO sowie bezüglich der Informationspflichten. So heißt es in Erwägungsgrund 7 des DA: „Die vorliegende Verordnung ergänzt das Unionsrecht zum Datenschutz und zum Schutz der Privatsphäre, insbesondere die Verordnung (EU) 2016/679 und die Richtlinie 2002/58/EG, und lässt es unberührt.“ Die Informationspflichten nach dem DA, welche für Transparenz in Bezug auf die erzeugten Daten sorgen und den einfachen Zugang für den Nutzer verbessern sollen, berühren nicht die Pflicht des Verantwortlichen, der betroffenen Person Informationen gemäß den Art. 12, 13 und 14 DSGVO zu übermitteln (DA ErwG 23).

Auch auf Art. 20 DSGVO wird im DA Bezug genommen. Zwar findet sich in ErwG 31 des DA sowie Art 1 Abs. 3 DA die Aussage, dass der DA das in Art. 20 DSGVO vorgesehene Recht auf Datenübertragbarkeit ergänzt. Wie Art. 20 DSGVO und Art. 5 Abs. 1 DA im Kollisionsfall konkret zueinanderstehen, lässt der DA allerdings offen.

Wie soeben aufgezeigt, kann es bei paralleler Geltendmachung zu Widersprüchen bezüglich der einzuhaltenden Frist kommen. Welche Frist nun gilt, ließe sich einfach beantworten, wenn die die Datenweitergabe fordernde Person immer die Rechtsgrundlage nennen würde. Dies wird wohl allerdings im Regelfall nicht vorkommen. Deshalb könnte man unterstellen, dass sich der Antragsteller auf die für ihn günstigere Regelung beruft. Anderes kann nur gelten, sofern sich die Person explizit auf die Datenweitergabe nach nur einer der beiden Verordnungen beruft. Demnach wäre in den meisten Fällen eine unverzügliche Bereitstellung der Daten, wie sie im DA vorgesehen ist, durchzuführen. Mit dem DA kommt es also zu einer Verschärfung der Fristenregelungen für Verpflichtungen von Unternehmen, die es zumindest ähnlich bereits in der DSGVO gibt und für die in der DSGVO noch längere Fristen oder flexiblere Regelungen vorgesehen waren.

Weitere Unterschiede

Daneben gibt es bei der Datenportabilität noch einige weitere „Verschärfungen“ im Zuge des DA im Verhältnis zur DSGVO:

• Im Unterschied zu Art. 20 DSGVO sieht Art. 5 Abs. 1 S. 1 DA vor, dass die Informationen „soweit relevant und technisch machbar, kontinuierlich und in Echtzeit“ zur Verfügung gestellt werden müssen.
• Der datenschutzrechtlich Verantwortliche kann sich im Fall von offenkundig unbegründeten oder exzessiven Anträgen einer betroffenen Person gemäß Art. 12 Abs. 5 S. 2 lit. b) DSGVO weigern, aufgrund des Antrags tätig zu werden. Eine solches ausdrücklich geregeltes Verweigerungsrecht zugunsten des Dateninhabers fehlt im DA. Allerdings könnte ein solches Verweigerungsrecht gestützt auf den Grundsatz des Missbrauchsverbots als vom EuGH bestätigter allgemeiner Grundsatz des Unionsrecht auch im Rahmen des DA in bestimmten Fällen zum Tragen kommen.
• Die Anspruchsverpflichteten nach Art. 20 DSGVO und Art. 5 Abs. 1 S. 1 DA können unterschiedlich sein. Art. 20 DSGVO verpflichtet den Verantwortlichen während Art. 5 Abs. 1 S. 1 DA den Dateninhaber verpflichtet. Dateninhaber kann in bestimmten Konstellationen neben dem Verantwortlichen auch beispielsweise der Auftragsverarbeiter sein.

Empfehlungen für die Praxis

Wie vorstehend gezeigt, müssen Unternehmen im Rahmen der Vorschriften des DA über die Datenweitergabe eine Reihe von Anforderungen beachten. Dabei kann es im Vergleich zur DSGVO zu einer Verschärfung der Fristenregelungen kommen und auch die weiteren Anforderungen des DA bei der Datenweitergabe gehen teilweise über die der DSGVO hinaus. Insgesamt werden sich Unternehmen immer wieder die Frage stellen müssen, welche der beiden Verordnungen inwieweit anwendbar ist oder ob im konkreten Fall beide gemeinsam Anwendung finden. Bei paralleler Geltendmachung von Ansprüchen könnte man davon ausgehen müssen, dass sich der Antragsteller auf die für ihn günstigere Regelung beruft, sodass eine unverzügliche Bereitstellung der Daten, wie sie im DA vorgesehen ist, durchzuführen ist und auch die weiteren „strengeren“ Anforderungen des DA einzuhalten sind.

In unserer DA-Update-Reihe präsentieren wir Ihnen regelmäßig Informationen zu dem geplanten Data Act der Europäischen Union und halten Sie über Änderungen im laufenden Gesetzgebungsverfahren informiert. In jedem unserer Beiträge geben wir Ihnen einen kurzen Überblick über einen konkreten Themenbereich und stellen Ihnen dabei die wichtigsten Aspekte und praktische Auswirkungen vor.