DA+

Aufsatz : Das Recht auf Datenübertragbarkeit nach Art. 20 DS-GVO im Spiegel des Data Acts : aus der RDV 2/2024, Seite 76-86

Lesezeit 3 Min.

Die DS-GVO[1] ist als das Recht zum Schutz personenbezogener Daten im Rahmen der Datenstrategie der Europäischen Union (EU) der Kern des europäischen Datenrechts. Sie wird mit Blick auf die wirtschaftliche und gesellschaftliche Bedeutung eines europäischen Binnenmarktes ergänzt. Ziel ist die Schaffung eines europäischen Datenrechts für einen Datenwirtschaftsraum, wie er in Art. 1 DS-GVO normiert ist. Es geht, das sagt Erwägungsgrund[2] 4 DS-GVO deutlich, nicht um ein Supergrundrecht Datenschutz, sondern um ein ausgewogenes Zusammenspiel der Grundrechte der EU, einschließlich der Wirtschaftsfreiheiten mit dem Recht auf Wahrung der Privatsphäre. Die Auswirkungen sind spätestens seit 2022 spürbar. Am 23.06.2022 ist der Data Governance Act in Kraft getreten, der die potenzielle Datennutzung zwischen unterschiedlichen Akteuren strukturell ausgestaltet. Am 11. Januar 2024 folgte das Inkrafttreten des Data Acts (DA),[3] der Daten in der EU besser verfügbar machen soll und einen Rechtsrahmen für den Datenzugang und die Datennutzung bildet. Der DA gilt ab dem 12.09.2025 gem. Art. 50 Abs. 2 DA. Im Sommer 2024 soll die KI-Verordnung in Kraft treten. Die Abwägung von Grundrechten und deren Ausgestaltung in unterschiedlichen Rechtsakten löst Spannungen aus. Das gilt insbesondere für die europäische Digitalregulierung. Hier wären klare Konkurrenzregeln innerhalb der jeweiligen Sekundärrechtsakte wünschenswert. Auch wenn solche teilweise geschaffen wurden, können Normen zu denselben Lebenssachverhalten nebeneinander stehen. Um das Verhältnis auf Rechtsanwendungsebene einzelfallbezogen klären zu können, ist eine Zusammenschau der DS-GVO mit den neuen Datenrechtsakten erforderlich.

In dieser Ausgabe wird exemplarisch das Recht auf Datenübertragbarkeit nach Art. 20 DS-GVO den korrespondierenden Normen im Data Act gegenübergestellt und mit erklärenden Anmerkungen versehen. In den Heften 3 und 4/2024 wird die Gegenüberstellung im Rahmen einer kurzen RDV-Serie für ausgewählte Bereiche der KI-Verordnung (Heft 3) und des Data Governance Acts (Heft 4) fortgesetzt. 

[1] Im Rahmen des Data Acts als „Verordnung (EU) 2016/679“ bezeichnet.

[2] Im Folgenden „ErwG“.

[3] Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13.12.2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828 (Datenverordnung).

I. Rechte und Pflichten von Nutzern und Dateninhabern in Bezug auf den Zugang zu sowie die Nutzung und die Bereitstellung von Produktdaten und verbundenen Dienstdaten (Art. 4 DA)

II. Recht des Nutzers auf Weitergabe von Daten an Dritte (Art. 5 DA)

III. Bedingungen, unter denen Dateninhaber Datenempfängern Daten bereitstellen (Art. 8 DA)

IV. Ausnahmen nach den Artt. 4 und 5 DA

V. Interoperabilität

VI. Fazit

Die Zusammenschau zeigt, dass Unternehmen mit Geltung des DA einen zusätzlichen Pflichtenkatalog berücksichtigen müssen. Im Detail ist die Abgrenzung zwischen DS‑GVO und DA oftmals schwer und bemisst sich danach, ob personenbezogene oder nicht personenbezogene Daten betroffen sind. Umso schwieriger erscheint demnach, dass der DA an vielen Stellen genau diese Trennung voraussetzt, die in der Praxis nicht immer möglich erscheint. Insoweit kann es in bestimmten Konstellationen dazu kommen, dass Bußgelder in derselben Höhe nach der DS‑GVO und dem DA drohen.[17] Der DA verweist in Art. 40 Abs. 4 DA auf den Bußgeldrahmen des Art. 83 Abs. 1 bis 5 DS‑GVO, der Geldbußen von bis zu 20.000.000,- € oder im Fall eines Unternehmens von bis zu 4% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs vorsieht. Um diese Risiken zu minimieren, können Adressaten des DA Synergieeffekte von Verzeichnissen von Verarbeitungstätigkeiten nach Art. 30 DS‑GVO nutzen, da dort Verarbeitungen enthalten sein dürften, die auch nicht personenbezogene Daten umfassen. Um mehrere Nutzer voneinander unterscheiden zu können, empfiehlt es sich mehrere Nutzerkonten bereitzustellen. Denn es bedarf einer (erneuten) Überprüfung der Rechtsgrundlage nach der DS‑GVO, wenn während der Übermittlung der (personenbezogenen) Daten weitere (natürliche) Personen neben dem Nutzer betroffen sind. Weitere Handlungsempfehlungen erstrecken sich auf die Absicherung von Geschäftsgeheimnissen bei der Weitergabe an Dritte, die Überprüfung der vorhandenen Verträge auf die Anforderungen des DA und dort, wo es möglich und sinnvoll ist, sollte eine Anonymisierung der personenbezogenen Daten angestrebt werden. Die vollständige Zusammenschau zwischen DS‑GVO und DA ist in der erscheinenden dritten Aufl. des „Heidelberger Kommentars DS‑GVO/BDSG“ zu finden.

[17] Hierzu Bomhard/Merkle RDi 2022, 168, 172 Rn. 29 f.; Heinzke BB 2023, 201, 205; Paal/Cornelius/Seeland RDV 2024, 5, 15.

Prof. Dr. Rolf Schwartmann

Kölner Forschungsstelle für Medienrecht
der Technischen Hochschule
Köln, Mitherausgeber von Recht der
Datenverarbeitung (RDV) sowie Vorsitzender
der Gesellschaft für Datenschutz
und Datensicherheit (GDD) e.V.

David Wasilewski, LL.B.

ist wissenschaftliche Hilfskraft an der
Kölner Forschungsstelle für Medienrecht.