test echtdaten datenschutz datenübertragbarkeit portabilität bcr binding corporate rules datenschutzerklärung homepage

Neu in der DSGVO: Das Recht auf Datenübertragbarkeit

/von

Eine der Neuerungen, die durch die DSGVO auf die für die Datenverarbeitung Verantwortlichen zukommt, ist das sogenannte Recht auf Datenübertragbarkeit. Festgelegt ist dieses Recht in Art. 20 DSGVO.

Demnach hat die betroffene Person „das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln“. Dies soll immer dann gelten, wenn die Grundlage der Datenverarbeitung die Einwilligung oder ein Vertrag ist und die Daten automatisiert verarbeitet werden. Für nur in Papierform vorgehaltene Daten gilt dies demnach nicht.

Die Regelung in der Theorie…

Der Gesetzgeber stellt sich die Datenübertragbarkeit so vor, dass die betroffene Person mit möglichst wenig Aufwand, seine Daten in elektronischer Form von seinem Anbieter erhält (beispielsweise per Download). Genau so einfach sollte dann der Upload der Daten zu einem neuen Anbieter erfolgen können. Möchte als beispielsweise eine betroffene Person von Facebook zu einem anderen Anbieter wechseln, so sollte dies gemäß dieser gesetzlichen Regelung künftig problemlos möglich sein.

In Absatz 2 dieses Artikels definiert der Gesetzgeber sogar noch eine weitere Vereinfachung der Datenübertragung für die betroffene Person. So soll die betroffene Person auch das Recht haben, „zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden“. Allerdings stellt der Gesetzgeber diese Forderung unter den Vorbehalt der technischen Machbarkeit.

…und wie sieht die Praxis aus?

Den direkten Transfer von einem Anbieter zu einem anderen Anbieter können die Verantwortlichen also mit der Begründung ablehnen, dass dies aus technischen Gründen nicht machbar ist. Aber auch der Prozess, wie der indirekte Transfer der Daten vom bisherigen Anbieter an die betroffene Person und von dort zum künftigen Anbieter erfolgen soll, ist vom Gesetzgeber nicht geregelt. Damit dies ohne erheblichen Anpassungsaufwand möglich ist, müssten sich die unterschiedlichen Anbieter auf ein gemeinsames Format einigen. Genau das ist aber vom Gesetzgeber gar nicht gefordert. Lediglich strukturiert, gängig und maschinenlesbar hat das Format zu sein.

Da die meisten Anbieter kein Interesse daran haben werden, dass betroffene Personen problemlos zu anderen Anbietern wechseln können, wird abzuwarten sein, wie diese Regelung in der Praxis durchgesetzt werden kann.

Umfang der Datenübermittlung

Die Artikel 29 Gruppe hat mit dem WP 242 eine ausführliche Stellungnahme zur Auslegung des in der DSGVO definierten Rechts auf Datenübertragbarkeit veröffentlicht. Demnach wird die gesetzliche Formulierung, dass die „sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat“ zu übermitteln sind sehr umfassend ausgelegt. Auch alle entstandenen Roh- und Metadaten sollen demnach in der Übermittlung enthalten sein. Am Beispiel eines E-Mail Providers wird beispielsweise ausgeführt, dass nicht nur der Inhalt der E-Mail zur Verfügung zu stellen ist, sondern dass auch der gesamte Header, der Angaben zum Transportweg der E-Mail enthält (beispielsweise IP-Adressen, DNS-Namen der beteiligten Server) zu übermitteln ist.

Bußgelder

Auch wenn derzeit noch nicht klar ist, wie das Recht auf Datenübertragbarkeit in der Praxis gestaltet werden kann, drohen auch hier ab dem 25.05.2018 Bußgelder. Der Gesetzgeber sieht für Verstöße gegen Artikel 20 DSGVO Bußgelder von bis zu 20 Mio. EUR oder 4% des weltweit erzielten Jahresumsatzes vor.

Speichern Sie Kundendaten, die unter das Recht auf Datenübertragbarkeit fallen könnten? Sprechen Sie uns an? Gerne untersützen wir Sie bei der weiteren Analyse und der datenschutzkonformen Umsetzung der Verfahren.

Das könnte Sie auch interessieren
bdsg-neu abdsg recht gesetz ldsg bdsg landesdatenschutzgesetz bundesdatenschutzgesetz datenschutzbeauftragter besondere arten kategorien personenbezogener daten ds-gvo bundesrat bundestag ausweis kopieren scannen pauswg personalausweisgesetz beschäftigtendatenschutz abmahnung eprivacy-verordnung epvo stberg steuerberater auftragsverarbeitungSteuerberater und Auftragsverarbeitung – Novellierung des Steuerberatungsgesetzes schafft Klarheit
berechtigtes interesse 6 1 f dsgvo bundesgerichtshof bgh eugh europäischer gerichtshof privacyshield gericht bußgeld 1&1 risiko bgh auskunftsrecht lag sachsen olg münchen schadenersatz google fonts eugh löschbegehren sicherheit e-mail auskunft frist unverzüglichSchon wieder Cookies – BGH urteilt zur Einwilligungspflicht
facebook fanpageFacebook ändert die AGB im Businessbereich – bleibt alles neu?
standard-datenschutzmodell datenschutz-folgenabschätzung datenübermittlung ausland prüfung dsms datenschutzmanagementsystem dsfa zertifizierung forschung zweckänderung prüfung fragebogenDatenschutz-Zertifizierungen nach der DS-GVO
konzern unternehmensgruppeDatenschutz in Unternehmensgruppen und Konzernen – was ist zu beachten?
aufsichtsbehörde bürokratieentlastungsgesetz aufbewahrungsfristDatentransfers in Drittstaaten – Koordinierte Kontrollen der Aufsicht
BSDG-neu: Was ändert sich an der Bestellpflicht für Datenschutzbeauftragt...ds-gvo one stop shop oss bdsg-neu datenschutzbeauftragter benennung bestellpflicht werbung drittstaaten transfer google analytics verbotendatenschutzerklärung werbung ds-gvo datenpanne automatisierte einzelfallentscheidung schadenersatz meldung des datenschutzbeauftragten auskunft verweigert verschlüsselungMeldepflichten bei Datenpannen unter der DSGVO