Datenübertragbarkeit 20 dsgvo

Serie Betroffenenrechte: Das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO

Nach der Einleitung zu allgemeinen Regelungen des Art. 12 DSGVO sowie den Artikeln zum Auskunftsrecht (Art. 15 DSGVO), zum Recht auf Berichtigung (Art. 16 DSGVO) und dem Recht auf Löschung, Vergessenwerden (Art. 17 DSGVO) und Einschränkung der Verarbeitung (Art. 18 DSGVO) ist dies der sechste Beitrag unserer Reihe zu den Betroffenenrechten.

Dieser Artikel unserer Reihe befasst sich mit Art. 20 DSGVO: Dem Recht auf Datenübertragbarkeit.

Datenübertragbarkeit, auch Datenportabilität genannt, ist eines der Rechte, die den betroffenen Personen eher unbekannt sind. Bedauerlicher Weise hat der Verordnungsgeber dieses Recht aus unserer Sicht auch nicht optimal ausgestaltet. Hierzu aber gleich mehr.

Betroffene Personen dürfen durch die DSGVO von einem Verantwortlichen (beispielsweise ihrem aktuellen Stromanbieter) verlangen, dass er personenbezogene Daten an einen neuen Verantwortlichen überträgt.

Das Recht soll den Nutzern helfen, bei einem Anbieterwechsel möglichst einfach die personenbezogenen Daten zu übertragen und es soll verhindern, dass Anbieter diesen Wechsel erschweren. Eigentlich klingt dieser Vorgang ganz simpel und sollte auch mit nur wenigen Klicks zu beantragen sein. Die Tücke liegt auch hier wieder im Detail, weshalb die Umsetzung in der Praxis für Unternehmen häufig eine Herausforderung darstellt.

Wann besteht das Recht auf Datenübertragbarkeit?

Das Recht auf Datenübertragbarkeit setzt voraus, dass

  • personenbezogene Daten i. S. d. 4 Abs. 1 DSGVO betroffen sind,
  • die personenbezogenen Daten dem Verantwortlichen von der betroffenen Person bereitgestellt wurden,
  • die Verarbeitung der personenbezogenen Daten auf einer Einwilligung oder einem Vertrag nach 6 Abs. 1 lit. b DSGVO beruht und
  • die Datenverarbeitung mittels einer automatisierten Verarbeitung erfolgt.

Welche Daten letztendlich „bereitgestellt wurden“ und unter das Recht der Datenübertragbarkeit fallen ist bis heute leider nicht abschließend geklärt. Allerdings hat die Artikel-29-Gruppe bereits klargestellt, dass dieser Begriff weit auszulegen sei. Wörtlich heißt es auf Seite 12 des verlinkten Dokuments:

[…] ausgeschlossen werden sollten lediglich „aus Rückschlüssen erzeugte Daten“ und „abgeleitete Daten“, die personenbezogene Daten beinhalten, welche von einem Diensteanbieter erzeugt werden (z.B. algorithmische Ergebnisse). Ein Verantwortlicher kann diese aus Rückschlüssen erzeugten Daten ausschließen, sollte jedoch alle sonstigen personenbezogenen Daten berücksichtigen, die von der betroffenen Person durch technische Mittel bereitgestellt werden, die der Verantwortliche zur Verfügung stellt.

Damit sind vom Recht auf Datenübertragbarkeit auch alle Daten, die nicht von der betroffenen Person direkt und bewusst bereitgestellt wurden, die jedoch von ihr erzeugt wurden, ebenfalls erfasst. Hierzu gehören beispielsweise Tracking-Daten, Verbrauchswerte (zum Beispiel bei Stromanbietern) und Ähnliches. Nicht mit übertragen werden müssen hingegen die Abrechnungen, die aus den Verbrauchswerten resultieren.

Dies liegt daran, dass zwischen zwei Kategorien zu unterscheiden ist. Einmal die Daten, die bei dem Betroffenen erhoben und von diesem bereitgestellt wurden und des weiteren Daten, welche durch den Verantwortlichen selbst geschaffen wurden (Marketingmaßnahmen oder Ähnliches).

In bestimmten Situationen ist das Recht der Datenübertragbarkeit jedoch nicht anzuwenden: Die Übertragung darf nur stattfinden, sofern sie nicht in die Rechte anderer Personen eingreift. Ob dies der Fall ist, ist von Antrag zu Antrag individuell zu betrachten. Ebenso dürfen natürlich dabei keine personenbezogenen Daten anderer Personen mit übertragen werden. Auch darf eine Datenübertragung nicht stattfinden, sofern Urheberrechte, geistiges Eigentum oder Geschäftsgeheimnisse verletzt werden würden.

Wie wird das Recht auf Datenübertragbarkeit wahrgenommen?

Wie auch alle anderen Betroffenen-Rechte muss das Recht auf Datenübertragbarkeit durch ein einfaches Antragsverfahren und ohne Formvorschrift wahrgenommen werden können. Insbesondere den von diesem Recht hauptsächlich betroffenen Unternehmen empfehlen wir grundsätzlich, das Recht auf Datenübertragbarkeit aktiv zu ermöglichen und entsprechende Funktionalitäten online bereitzustellen. Wie bei allen anderen Betroffenenrechten muss auch hier die Identität der betroffenen Person überprüft werden. Besteht ein begründeter Zweifel bezüglich der Identität der betroffenen Person, kann das Unternehmen darüber hinaus zusätzliche Informationen zur Bestätigung der Identität anfordern (Art. 12 Abs. 6 DSGVO) – soweit nichts Neues. Zu beachten ist ebenfalls, dass das Recht auf Datenübertragbarkeit gemäß Art. 12 Abs. 5 DSGVO nicht von der Zahlung eines Entgelts abhängig gemacht werden darf.

Was müssen Unternehmen technisch umsetzen?

Die Überschrift zu diesem Absatz sollte vielleicht besser heißen: „was ist technisch zumutbar für die Unternehmen?“, denn eine Datenübertragung kann schlussendlich nur stattfinden, wenn die Übertragung vom einen zum anderen Anbieter technisch möglich ist.

Die technische Machbarkeit richtet sich damit nach den technischen Möglichkeiten beider an diesem Vorgang beteiligten Verantwortlichen. Da der technische Standard nicht bei allen Unternehmen gleich zu erwarten ist und auch nicht jedes Unternehmen eine Schnittstelle zu jedem anderen Unternehmen bereitstellen kann (und will), liegt hier die große Herausforderung. Art. 20 Abs. 2 DSGVO regelt allerdings, dass das Recht auf einen direkten Austausch der Daten zwischen den zwei Verantwortlichen nur besteht, soweit dies technisch machbar ist. Hier haben wir es mit zwei Komponenten zu tun: Zum einen muss die reine Übertragung der Daten zwischen den Verantwortlichen technisch machbar sein. Zum anderen müssen die von den beiden Verantwortlichen genutzten Systeme soweit kompatibel sein, dass die aus dem Ursprungssystem exportierten Daten vom Zielsystem aufgenommen werden können. Notwendige Transformationen der Daten sind sicher zumutbar, wenn es jedoch darum geht, dass das Zielsystem technisch nicht in der Lage ist, die Daten aufzunehmen, endet hier der Anspruch der betroffenen Person. Insbesondere sind die Verantwortlichen nicht verpflichtet, ihre Systeme aneinander anzupassen oder gar zu übernehmen.

Unabhängig vom direkten Austausch der Daten zwischen den Verantwortlichen ist allerdings das Recht auf Erhalt einer Datenkopie in einem einem „strukturierten, gängigen und maschinenlesbaren Format“. Hierzu zählen Formate wie PDF oder gängige Office-Programme, unseres Erachtens aber auch XML oder JSON

Sofern die Übertragung an den neuen Verantwortlichen technisch möglich ist, müssen die Daten im vollen Umfang an den neuen Anbieter übertragen werden.

Was hätte noch geregelt werden müssen, ist es aber nicht?

Wie in der Einleitung schon geschrieben, hat der Verordnungsgeber das Recht auf Datenübertragbarkeit aus unserer Sicht nicht optimal, beziehungsweise nicht vollständig geregelt. Unseres Erachtens fehlen Regelungen, die festlegen, zwischen welchen Verantwortlichen die Datenübertragbarkeit hergestellt werden muss. Der derzeitige Verordnungstext trifft hierzu gar keine Aussage. Damit könnte eine betroffene Person auch von ihrem Stromanbieter die Übertragung zum neuen KFZ-Haftpflichtversicherer verlangen. Das ergibt unseres Erachtens keinen Sinn. Gegebenenfalls könnten die Verantwortlichen diesem Vorhaben mit fehlenden technischen Möglichkeiten (siehe vorangegangener Abschnitt) entgegentreten. Im Zweifel jedoch werden erst gerichtliche Auseinandersetzungen hier für Klarheit sorgen.

Das Übliche: Fristen und Co.

Auch bei diesem Betroffenenrecht gilt: Die Verantwortlichen müssen gem. Art. 12 DSGVO den Anspruch auf Datenübertragbarkeit innerhalb eines Monats erfüllen, wobei eine Verlängerung dieser Frist auf insgesamt bis zu drei Monate möglich ist. Eine Frist Verlängerung kann dabei nur zur Anwendung kommen, wenn die Komplexität und die Anzahl von Anfragen enorm hoch sind.

Fazit

Das Recht auf Datenübertragbarkeit wird nach unserer Erfahrung bislang eher selten von den betroffenen Personen genutzt, hat unseres Erachtens aber ein enormes Potenzial für die betroffenen Personen. Gleichzeitig birgt es eines der größten Risiken im Bereich der Betroffenenrechte für die Unternehmen, denn die Umsetzung ist komplex und technisch aufwändig.

Sind Sie vorbereitet auf die erste Anforderung einer betroffenen Person auf Datenübertragbarkeit? Melden Sie sich gerne bei uns, wir unterstützen Sie!

 

Dieser Artikel ist Teil unserer Reihe zu den Betroffenen-Rechten. Die anderen finden Sie hier:

 

 


Diesen Beitrag teilen

0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Wir freuen uns über Ihren Beitrag!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.