Das Recht auf Datenübertragbarkeit

Die DSGVO gibt den von der Verarbeitung personenbezogener Daten betroffenen Personen in den Art. 13 ff DSGVO einige Betroffenenrechte. Diese dienen dem Schutz der personenbezogenen Daten.

Eines dieser Betroffenenrechte ist das Recht auf Datenübertragbarkeit (auch Recht auf Datenportabilität genannt) nach Art. 20 DSGVO. Doch was bedeutet Datenportabilität überhaupt?

Sinn und Zweck

In der DSGVO wurde das Recht auf Datenübertragbarkeit gegenüber den rechtlichen Vorgängern neu geschaffen. Es soll den Betroffenen mehr Kontrolle über ihre personenbezogenen Daten geben (Erwägungsgrund 68 der DSGVO). So soll es deutlich einfacher sein, den Verantwortlichen zu wechseln.

Dadurch werden nicht nur wettbewerbspolitisch datenschutzfreundlichere Systeme gefördert, zu denen die Betroffenen wechseln wollen, sondern auch kartellrechtlich relevante Bindungen der Betroffenen verhindert. Der Gesetzgeber hatte dabei vor allem die Bindung an Internetdiensteanbieter vor Augen. Genauso ist Art. 20 DSGVO aber auch auf soziale Netzwerke, Musik-Streamingdienste, Webmail-Anwendungen, Banken, Versicherungen und alle anderen datenschutzrechtlich Verantwortlichen anwendbar.

Voraussetzungen

Die Voraussetzungen für die Ausübung des Rechtes auf Datenübertragung ergeben sich aus Art. 20 DSGVO:

  • Die betroffene Person muss einen Antrag beim Verantwortlichen stellen.
  • Es muss gerade von der betroffenen Person geltend gemacht werden, das heißt, die Daten, um die es geht, müssen diese Person betreffen.
  • Die Daten müssen dem Verantwortlichen von dem Betroffenen bereitgestellt worden sein. Von Dritten bereitgestellte Daten sind damit nicht umfasst. Aus den bereitgestellten Daten ermittelte Daten (z.B. durch Profiling) sind auch nicht umfasst. Daten, die lediglich mit den Daten Dritter verknüpft sind, sind dagegen mit umfasst, solange die Rechte und Freiheiten anderer Personen nicht beeinträchtigt werden (Art. 20 IV DSGVO), was einzelfallabhängig zu beurteilen ist.
  • Die Verarbeitung durch den Verantwortlichen erfolgt auf Grundlage einer wirksamen Einwilligung oder eines Vertrages.
  • Die Daten werden automatisiert verarbeitet.

Was kann der Betroffene verlangen?

Das Recht auf Datenübertragbarkeit gibt dem Betroffenen nicht nur das Recht, die an den Verantwortlichen bereitgestellten personenbezogenen Daten an sich heraus zu verlangen, sondern auch das Recht der direkten Übertragung der Daten an einen neuen Verantwortlichen durch den ursprünglichen Verantwortlichen.

Der ursprüngliche Verantwortliche ist dann verpflichtet, die Daten in einem interoperablen, also strukturierten, gängigen und maschinenlesbaren Format zu übermitteln. Er ist dabei aber nicht verpflichtet, technisch kompatible Datenverarbeitungssysteme beizubehalten oder zu übernehmen.

Umsetzung in der Praxis

Der Umfang des Rechtes auf Datenübertragbarkeit zeigt, dass es sich um ein Thema handelt, mit dem sich datenschutzrechtlich Verantwortliche frühzeitig auseinandersetzen sollten. Hierbei ist ausführlich Rücksprache mit dem jeweiligen Datenschutzbeauftragten zu halten.

Dabei ist zunächst zu klären, wie stark das eigene Unternehmen überhaupt von Anträgen auf Datenübertragung betroffen sein könnte und welche Menge an Ressourcen dafür nötig wären. Auch muss betrachtet werden, welche Daten des Unternehmens das Recht auf Datenübertragung konkret betreffen kann und wo genau diese gespeichert liegen.

Wenn es dann zu einem Antrag auf Datenübertragung kommt, muss immer als erstes sorgfältig die Identität der antragsstellenden Person geklärt werden. Dieser Prozess muss auch dokumentiert werden, um es später nachweisen zu können.

Dann sind auch noch Überlegungen bezüglich der praktischen Umsetzung der Übertragung anzustellen. Wichtige Punkte sind hier in Frage kommende Formate, die den gesetzlichen Anforderungen entsprechen und Verschlüsselung (bei personenbezogenen Daten der besonderen Kategorie besonders zu beachten).

Stellt ein Betroffener bloß einen Antrag auf Datenübertragung, umfasst dies nicht automatisch einen Antrag auf Löschung der Daten beim ursprünglichen Verantwortlichen, was eigentlich im Widerspruch zum Grundsatz der Datensparsamkeit steht. Der Wunsch nach Löschung der Daten muss vom Betroffenen ausdrücklich erwähnt werden.

Im Einzelfall sollte man sich also am besten an seinen Datenschutzbeauftragten wenden.

%d Bloggern gefällt das: