Das Recht auf Datenübertragbarkeit

Das Recht auf Datenübertragbarkeit

Die DSGVO gibt den von der Verarbeitung personenbezogener Daten betroffenen Personen in den Art. 13 ff DSGVO einige Betroffenenrechte. Diese dienen dem Schutz der personenbezogenen Daten.

Eines dieser Betroffenenrechte ist das Recht auf Datenübertragbarkeit (auch Recht auf Datenportabilität genannt) nach Art. 20 DSGVO. Doch was bedeutet Datenportabilität überhaupt?

Sinn und Zweck

In der DSGVO wurde das Recht auf Datenübertragbarkeit gegenüber den rechtlichen Vorgängern neu geschaffen. Es soll den Betroffenen mehr Kontrolle über ihre personenbezogenen Daten geben (Erwägungsgrund 68 der DSGVO). So soll es deutlich einfacher sein, den Verantwortlichen zu wechseln.

Dadurch werden nicht nur wettbewerbspolitisch datenschutzfreundlichere Systeme gefördert, zu denen die Betroffenen wechseln wollen, sondern auch kartellrechtlich relevante Bindungen der Betroffenen verhindert. Der Gesetzgeber hatte dabei vor allem die Bindung an Internetdiensteanbieter vor Augen. Genauso ist Art. 20 DSGVO aber auch auf soziale Netzwerke, Musik-Streamingdienste, Webmail-Anwendungen, Banken, Versicherungen und alle anderen datenschutzrechtlich Verantwortlichen anwendbar.

Voraussetzungen

Die Voraussetzungen für die Ausübung des Rechtes auf Datenübertragung ergeben sich aus Art. 20 DSGVO:

• Die betroffene Person muss einen Antrag beim Verantwortlichen stellen.
• Es muss gerade von der betroffenen Person geltend gemacht werden, das heißt, die Daten, um die es geht, müssen diese Person betreffen.
• Die Daten müssen dem Verantwortlichen von dem Betroffenen bereitgestellt worden sein. Von Dritten bereitgestellte Daten sind damit nicht umfasst. Aus den bereitgestellten Daten ermittelte Daten (z.B. durch Profiling) sind auch nicht umfasst. Daten, die lediglich mit den Daten Dritter verknüpft sind, sind dagegen mit umfasst, solange die Rechte und Freiheiten anderer Personen nicht beeinträchtigt werden (Art. 20 IV DSGVO), was einzelfallabhängig zu beurteilen ist.
• Die Verarbeitung durch den Verantwortlichen erfolgt auf Grundlage einer wirksamen Einwilligung oder eines Vertrages.
• Die Daten werden automatisiert verarbeitet.

Was kann der Betroffene verlangen?

Das Recht auf Datenübertragbarkeit gibt dem Betroffenen nicht nur das Recht, die an den Verantwortlichen bereitgestellten personenbezogenen Daten an sich heraus zu verlangen, sondern auch das Recht der direkten Übertragung der Daten an einen neuen Verantwortlichen durch den ursprünglichen Verantwortlichen.

Der ursprüngliche Verantwortliche ist dann verpflichtet, die Daten in einem interoperablen, also strukturierten, gängigen und maschinenlesbaren Format zu übermitteln. Er ist dabei aber nicht verpflichtet, technisch kompatible Datenverarbeitungssysteme beizubehalten oder zu übernehmen.

Umsetzung in der Praxis

Der Umfang des Rechtes auf Datenübertragbarkeit zeigt, dass es sich um ein Thema handelt, mit dem sich datenschutzrechtlich Verantwortliche frühzeitig auseinandersetzen sollten. Hierbei ist ausführlich Rücksprache mit dem jeweiligen Datenschutzbeauftragten zu halten.

Dabei ist zunächst zu klären, wie stark das eigene Unternehmen überhaupt von Anträgen auf Datenübertragung betroffen sein könnte und welche Menge an Ressourcen dafür nötig wären. Auch muss betrachtet werden, welche Daten des Unternehmens das Recht auf Datenübertragung konkret betreffen kann und wo genau diese gespeichert liegen.

Wenn es dann zu einem Antrag auf Datenübertragung kommt, muss immer als erstes sorgfältig die Identität der antragsstellenden Person geklärt werden. Dieser Prozess muss auch dokumentiert werden, um es später nachweisen zu können.

Dann sind auch noch Überlegungen bezüglich der praktischen Umsetzung der Übertragung anzustellen. Wichtige Punkte sind hier in Frage kommende Formate, die den gesetzlichen Anforderungen entsprechen und Verschlüsselung (bei personenbezogenen Daten der besonderen Kategorie besonders zu beachten).

Stellt ein Betroffener bloß einen Antrag auf Datenübertragung, umfasst dies nicht automatisch einen Antrag auf Löschung der Daten beim ursprünglichen Verantwortlichen, was eigentlich im Widerspruch zum Grundsatz der Datensparsamkeit steht. Der Wunsch nach Löschung der Daten muss vom Betroffenen ausdrücklich erwähnt werden.

Im Einzelfall sollte man sich also am besten an seinen Datenschutzbeauftragten wenden.

Technische Anforderungen an die Datenübertragung

Die praktische Umsetzung des Rechts auf Datenübertragbarkeit stellt Unternehmen vor erhebliche technische Herausforderungen. Art. 20 Abs. 1 DSGVO verlangt, dass die Daten in einem „strukturierten, gängigen und maschinenlesbaren Format“ bereitgestellt werden. Doch was bedeutet das konkret?

• Strukturiert: Die Daten müssen in einer organisierten Form vorliegen, die es ermöglicht, einzelne Datenpunkte zu identifizieren und zuzuordnen. Ein einfacher Fließtext oder ein PDF-Dokument erfüllt diese Anforderung in der Regel nicht.
• Gängig: Das Format muss weit verbreitet und allgemein bekannt sein. Proprietäre Formate, die nur mit spezieller Software gelesen werden können, genügen nicht. Gängige Formate sind beispielsweise CSV, JSON, XML oder standardisierte API-Formate.
• Maschinenlesbar: Die Daten müssen so aufbereitet sein, dass sie automatisiert von Software verarbeitet werden können. Dies schließt Bildformate wie JPG oder eingescannte Dokumente aus, da diese zwar von Menschen gelesen, aber nicht ohne weiteres maschinell verarbeitet werden können.

Die Artikel-29-Datenschutzgruppe (jetzt Europäischer Datenschutzausschuss, EDSA) empfiehlt Verantwortlichen, gängige und offene Formate zu verwenden und die Daten nach Möglichkeit über sichere APIs bereitzustellen, um eine direkte Übertragung zwischen Verantwortlichen zu erleichtern.

Abgrenzung zum Auskunftsrecht nach Art. 15 DSGVO

Das Recht auf Datenübertragbarkeit wird häufig mit dem Auskunftsrecht nach Art. 15 DSGVO verwechselt, obwohl sich beide Rechte in wesentlichen Punkten unterscheiden:

• Umfang: Das Auskunftsrecht nach Art. 15 DSGVO umfasst alle personenbezogenen Daten, die der Verantwortliche über den Betroffenen verarbeitet, unabhängig von der Rechtsgrundlage oder der Art der Verarbeitung. Das Recht auf Datenübertragbarkeit ist dagegen auf Daten beschränkt, die der Betroffene selbst bereitgestellt hat und die auf Grundlage einer Einwilligung oder eines Vertrages automatisiert verarbeitet werden.
• Format: Bei der Auskunft nach Art. 15 DSGVO genügt eine Kopie der Daten in einem lesbaren Format. Bei der Datenübertragbarkeit müssen die Daten in einem strukturierten, gängigen und maschinenlesbaren Format bereitgestellt werden.
• Zweck: Das Auskunftsrecht dient der Transparenz und Kontrolle. Das Recht auf Datenübertragbarkeit zielt darauf ab, den Wechsel zwischen Anbietern zu erleichtern und den Wettbewerb zu fördern.

Fristen und Kosten

Der Verantwortliche muss einem Antrag auf Datenübertragbarkeit unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang des Antrags nachkommen (Art. 12 Abs. 3 DSGVO). Diese Frist kann bei besonders komplexen Anträgen oder einer Vielzahl von Anträgen um weitere zwei Monate verlängert werden. Der Betroffene muss in diesem Fall innerhalb des ersten Monats über die Verlängerung und deren Gründe informiert werden.

Grundsätzlich hat die Bereitstellung der Daten kostenlos zu erfolgen. Nur bei offenkundig unbegründeten oder exzessiven Anträgen kann der Verantwortliche ein angemessenes Entgelt verlangen oder die Bearbeitung verweigern (Art. 12 Abs. 5 DSGVO). Die Beweislast für die Unbegründetheit oder Exzessivität liegt dabei beim Verantwortlichen.

Datenschutz-Folgenabschätzung bei der Datenübertragung

Bei der Umsetzung des Rechts auf Datenübertragbarkeit sollten Verantwortliche auch die Risiken der Datenübertragung selbst berücksichtigen. Die Übermittlung größerer Mengen personenbezogener Daten birgt Risiken hinsichtlich der Vertraulichkeit und Integrität der Daten. Geeignete Schutzmaßnahmen wie Verschlüsselung, sichere Übertragungswege und eine sorgfältige Identitätsprüfung des Antragstellers sind wichtig.

Insbesondere wenn Daten direkt an einen anderen Verantwortlichen übermittelt werden sollen (Art. 20 Abs. 2 DSGVO), muss sichergestellt werden, dass die Übertragung an den richtigen Empfänger erfolgt und die Daten während der Übertragung nicht kompromittiert werden können.

Vorbereitung auf Anträge

Unternehmen sollten sich vorausschauend auf Anträge zur Datenübertragbarkeit vorbereiten. Dazu gehört die Implementierung technischer Schnittstellen für den Datenexport, die Schulung der zuständigen Mitarbeiter und die Festlegung klarer interner Prozesse. Ein enger Austausch mit dem Datenschutzbeauftragten hilft dabei, die organisatorischen und technischen Voraussetzungen rechtzeitig zu schaffen und im Ernstfall schnell und rechtssicher reagieren zu können.

Verhältnis zu anderen Betroffenenrechten

Das Recht auf Datenübertragbarkeit steht nicht isoliert, sondern in einem engen Zusammenhang mit den übrigen Betroffenenrechten der DSGVO. Es ergänzt insbesondere das Auskunftsrecht nach Art. 15 DSGVO, das Recht auf Berichtigung nach Art. 16 DSGVO und das Recht auf Löschung nach Art. 17 DSGVO.

In der Praxis stellen Betroffene häufig mehrere Anträge gleichzeitig, etwa einen Antrag auf Auskunft in Kombination mit einem Antrag auf Datenübertragbarkeit. Unternehmen sollten daher Prozesse etablieren, die eine effiziente und koordinierte Bearbeitung solcher kombinierten Anfragen ermöglichen. Ein zentraler Ansprechpartner für Betroffenenanfragen und klare interne Zuständigkeiten helfen dabei, die gesetzlichen Fristen einzuhalten und einen professionellen Umgang mit den Rechten der Betroffenen sicherzustellen.

Auch die Frage, ob der Verantwortliche die Daten nach einer Übertragung an einen neuen Anbieter löschen muss, bedarf einer sorgfältigen Prüfung. Das Recht auf Datenübertragbarkeit umfasst kein automatisches Recht auf Löschung beim ursprünglichen Verantwortlichen. Will der Betroffene die Löschung, muss er diese separat nach Art. 17 DSGVO beantragen. Allerdings kann die Löschung verweigert werden, wenn der Verantwortliche die Daten aufgrund gesetzlicher Aufbewahrungspflichten weiterhin speichern muss.