Das Recht auf Datenübertragbarkeit

Fachbeitrag

Ab dem 25.05.2018 ist mit der Datenschutz-Grundverordnung auch das Recht auf Datenübertragbarkeit anzuwenden. Die Praxis sieht sich mit erheblichen praktischen Umsetzungsschwierigkeiten und Rechtsunsicherheiten konfrontiert. Wie das Recht auf Datenübertragbarkeit anzuwenden und was dabei zu beachten ist, soll in diesem Fachbeitrag dargestellt werden.

Anwendungsbereich und Zweck

Die Artikel-29-Datenschutzgruppe beschreibt die Ziele des neuen Rechts auf Datenübertragbarkeit kurz so:

„The new right to data portability aims at empowering data subjects regarding their own personal data as it facilitates their ability to move, copy or transmit personal data easily form one IT environment to another (whether to their own systems, the systems of trusted third parties or those of new data controllers).“

Mit dem Recht auf Datenübertragbarkeit zielt der europäische Gesetzgeber im Wesentlichen auf eine Stärkung des Datenschutzes, des Verbraucherschutzes und des Wettbewerbs um datenschutzfreundliche Technologien ab. Letztlich soll vor allem die Kontrolle über die eigenen Daten der betroffenen Personen gestärkt werden (vgl. Erwägungsgrund 68). Der europäische Gesetzgeber hat dabei insbesondere die Fälle vor Augen, in denen beispielsweise ein Nutzer

  • eines sozialen Netzwerks
  • eines Film- oder Musikportals
  • eines E-Mail-Providers/einer Webmail-Applikation
  • eines Cloud-Anbieters
  • von Treue- und Bonuskarten oder
  • mobiler Apps

den Anbieter wechseln möchte. Das Recht auf Datenübertragbarkeit soll dabei einen einfachen und unkomplizierten Anbieterwechsel ermöglichen, den heutzutage noch viele Nutzer wegen einer Vielzahl unterschiedlicher Hürden scheuen (sog. „Lock-in-Effekt“).

Die Artikel-29-Datenschutzgruppe führt dazu aus:

„By affirming individuals’ personal rights and control over the personal data concerning them, data portability also represents an opportunity to “re-balance” the relationship between data subjects and data controllers.“

Was sind die Kernelemente des Rechts auf Datenübertragbarkeit?

Werden die rechtlichen Voraussetzungen erfüllt, haben die betroffenen Personen das Recht

  • ihre personenbezogenen Daten in einem geeigneten Format zu erhalten (z. B. über einen USB-Stick, eine CD, die private Cloud oder aber einen Barcode),
  • ihre personenbezogenen Daten an einen anderen Anbieter zu übermitteln oder
  • ihre personenbezogenen Daten von einem Anbieter an einen anderen Anbieter übermitteln zu lassen.

Rechtliche Voraussetzungen für das Recht auf Datenübertragbarkeit

Das Recht auf Datenübertragbarkeit setzt nach Artikel 20 DSGVO voraus, dass

  1. personenbezogene Daten i. S. d. Art. 4 Abs. 1 DSGVO betroffen sind,
  2. die personenbezogenen Daten dem Verantwortlichen von der betroffenen Person bereitgestellt wurden
  3. die Verarbeitung der personenbezogenen Daten muss aufgrund einer Einwilligung oder einem Vertrag nach Art. 6 Abs. 1 lit. b DSGVO beruhen und
  4. die Datenverarbeitung mittels eines automatisierten Verfahrens erfolgt.

Insbesondere die Frage, was unter personenbezogenen Daten zu verstehen ist, die von der betroffenen Person „bereitgestellt wurden“, ist derzeit noch nicht hinreichend geklärt. Es spricht viel dafür, dieses Kriterium nicht zu eng auszulegen. Dazu gehören etwa personenbezogene Daten, die beispielsweise die Nutzungsaktivität, Verkehrsdaten, Lokalisierungsdaten, Gesundheitsdaten von sog. „Wearable Devices“ oder das Such- und Surfverhalten der betroffenen Person abbilden. Wurden personenbezogene Daten vom Verantwortlichen selbst geschaffen (z. B. über Marketingmaßnahmen), dürften diese personenbezogenen Daten grundsätzlich nicht unter das Recht auf Datenübertagbarkeit fallen.

Die Artikel-29-Datenschutzgruppe führt hierzu näher aus:

„In general, given the policy objectives of the right to data portability, the term “provided by the data subject” must be interpreted broadly, and should exclude “inferred data” and “derived data”, which include personal data that are created by a service provider (for example, algorithmic results). (…) Thus, the term “provided by” includes personal data that relate to the data subject activity or result from the observation of an individual’s behaviour, but does not include data resulting from subsequent analysis of that behaviour. By contrast, any personal data which have been created by the data controller as part of the data processing, e.g. by a personalisation or recommendation process, by user categorisation or profiling are data which are derived or inferred from the personal data provided by the data subject, and are not covered by the right to data portability.“

Wann besteht kein Recht auf Datenübertragbarkeit?

Ein Recht auf Datenübertragbarkeit besteht nicht, wenn

  • die Verarbeitung personenbezogener Daten zur Wahrnehmung öffentlicher Aufgaben erfolgt (Art. 20 Abs. 3 Satz 2 DSGVO)
  • die Rechte und Freiheiten anderer Personen betroffen sind (Art. 20 Abs. 4 DSGVO)
  • eine Übertragung personenbezogener Daten von einem Anbieter zu einem anderen Anbieter technisch nicht möglich ist.

Wann sind die Rechte und Freiheiten anderer Personen betroffen?

Besonders problematisch ist an dieser Stelle, wann Rechte und Freiheiten anderer Personen betroffen sind. Hierbei ist zunächst nach Erwägungsgrund 4 Satz 2 der DSGVO festzuhalten, dass das Recht auf Schutz der personenbezogenen Daten kein uneingeschränktes Recht ist, sondern durch seine gesellschaftliche Funktion unter Wahrung des Verhältnismäßigkeitsgrundsatzes und der Grundrechte einer anderen Person abgewogen werden muss.

Darunter fallen etwa Urheberrechtsverletzungen, Verletzungen des geistigen Eigentums oder eine Verletzung von Geschäftsgeheimnissen, wobei geschäftliche Risiken für sich alleingenommen nicht ausreichen.

Schwierig wird es dann, wenn auch personenbezogene Daten von mehreren betroffenen Personen betroffen sind. Dies umfasst beispielsweise Fälle, in welchen das „eigene“ E-Mail-Postfach, das „eigene“ Netzwerkprofil etc. betroffen ist und dadurch zwangsläufig auch personenbezogene Daten Dritter berührt werden. Bei einem E-Mail-Postfach können beispielsweise die Kontaktdaten von Freunden, Verwandten, Familie und anderen Kontakten betroffen sein. Dies gilt auch im Hinblick auf die ein- bzw. ausgegangenen E-Mails und entsprechend bei sozialen Netzwerken. Die Richtung geht in diesen Fällen derzeit dahin, hier dem Recht auf Datenübertragbarkeit mehr Raum zu geben und demnach die Datenübertragbarkeit zu gewährleisten.

Was ist den Verantwortlichen technisch zumutbar?

Schließlich muss gewährleistet sein, dass die Übertragung von einem Anbieter an einen anderen Anbieter auch technisch machbar ist. Die technische Machbarkeit richtet sich dabei grundsätzlich an den schon vorhandenen technischen Möglichkeiten des Verantwortlichen, wobei regelmäßig erwartet werden kann, dass eine Übertragung über PDF, gängige Office-Programme oder E-Mail möglich ist. Auch Open-Source-Software können genutzt werden.

Nicht gefordert werden kann, dass ein Verantwortlicher verpflichtet ist, jede Form der Datenübertragung zu unterstützen.

Besonders wichtig ist jedoch, dass die Daten in einem Format zur Verfügung gestellt werden, das interoperabel ist. Der europäische Gesetzgeber hat zwar darauf verzichtet, die Umsetzung im Wesentlichen durch Durchführungsrechtsakte zu begleiten, weist aber gleichwohl darauf hin, dass er von den Verantwortlichen grundsätzlich technische Entwicklungen erwartet (Erwägungsgrund 68). Hierbei dürfte die Entwicklung entsprechender Algorithmen im Vordergrund.

In Anlehnung Artikel 2 Nr. 1 des Beschlusses (EU) 2015/2240 des Europäischen Parlaments und des Rates vom 25.11.2015 kann „Interoperabilität“ dabei definiert werden als

„(…) the ability of disparate and diverse organisations to interact towards mutually beneficial and agreed common goals, involving the sharing of information and knowledge between the organisations, through the business processes they support, by means of the exchange of data between their respective ICT systems.“

Wie ist das Recht auf Datenübertragbarkeit geltend zu machen?

Zuerst ist ein Antrag des Betroffenen beim jeweiligen Anbieter zu stellen, der die eigenen personenbezogenen Daten vorhält. Nicht zwingend, aber zu empfehlen ist es, den Antrag schriftlich oder in Textform zu stellen.

Die Identität des Betroffenen sollte schon bei Antragsstellung in geeigneter Weise nachgewiesen werden, da der Anbieter anderenfalls den Anspruch zurückweisen kann, Art. 12 Abs. 2 Satz 2 DSGVO. Bei begründeten Zweifeln an der Identität des Betroffenen, kann der Anbieter darüber hinaus zusätzliche Informationen zur Bestätigung der Identität anfordern (Art. 12 Abs. 6 DSGVO).

Von der Zahlung eines Entgelts darf das Recht auf Datenübertragbarkeit gemäß Art. 12 Abs. 5 DSGVO nicht abhängig gemacht werden.

Wie muss das Recht auf Datenübertragbarkeit erfüllt werden?

Nach Artikel 12 Abs. 3 DSGVO muss der Verantwortlicher den Anspruch auf Datenübertragbarkeit innerhalb eines Monats erfüllen, wobei eine Verlängerung dieser Frist auf insgesamt bis zu drei Monate möglich ist. Sofern die Frist um zwei Monate verlängert werden soll, muss dies allerdings unter Berücksichtigung der Komplexität und der Anzahl von Anfragen erforderlich sein.

Zu beachten ist ferner, dass der betroffenen Person das Recht auf Datenübertragbarkeit gewährleistet wird, ohne dass die betroffene Person durch den Verantwortlichen, der die personenbezogenen Daten vorhält, hierbei im Sinne des Art. 20 Abs. 1 DSGVO behindert wird. Eine solche Behinderung können rechtliche, technische oder finanzielle Hindernisse darstellen. So darf die Erfüllung des Rechts auf Datenübertragbarkeit grundsätzlich nicht von der Zahlung eines Entgelts abhängig gemacht werden (vgl. Art. 12 Abs. 5 DSGVO). Ein Hindernis liegt aber auch darin, dass die Erfüllung des Rechts auf Datenübertragbarkeit verzögert wird oder für die betroffene Person eine Komplexität aufweist, die das Recht der betroffenen Person untergräbt.

Darüber hinaus ist zu beachten, dass die Verantwortlichen nach Artikel 5 Abs. 1 lit. f DSGVO das Recht auf Datenübertragbarkeit in einer Weise erfüllen, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet. Dies umfasst den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigten Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung, indem geeignete technische und organisatorische Maßnahmen zur Verfügung stehen. Hierzu können beispielsweise Passwörter eingesetzt werden.

Was kann der Betroffene tun, wenn sein Recht auf Datenübertragbarkeit nicht erfüllt wird?

Lehnt der Anbieter den Antrag des Betroffenen zur Datenübertragung ab, so hat er seine Entscheidung zu begründen (Art. 12 Abs. 4 DSGVO).

Darüber hinaus hat der Anbieter den Betroffenen darauf hinzuweisen, dass er das Recht zur Beschwerde bei der jeweils zuständigen Aufsichtsbehörde hat und sein Recht auf Datenübertragbarkeit auch gerichtlich durchsetzen kann. Die Aufsichtsbehörde kann dann insbesondere ihre Untersuchungs- und Abhilfebefugnisse nach Art. 58 DSGVO geltend machen.

Im Rahmen der gerichtlichen Durchsetzung können sich verschiedene Rechtswege (z. B. zu den Zivil-, Arbeits- bzw. die Verwaltungs-, Sozial- oder Finanzgerichte) ergeben, was zu beachten ist.

Die Verantwortlichen sollten darüber hinaus beachten, dass Verstöße mit bis zu 20.000.000 € oder im Falle eines Unternehmens von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangen Geschäftsjahres geahndet werden können, Art. 83 Abs. 5 lit. b) DSGVO.

Verhältnis zu anderen Rechten der betroffenen Person

Die anderen Rechte der betroffenen Person bleiben von der Ausübung des Rechts auf Datenübertragbarkeit unberührt. Insbesondere ist mit dem Recht auf Datenübertragbarkeit nicht auch der Wunsch der betroffenen Person verbunden, die personenbezogenen Daten zu löschen (Art. 20 Abs. 3 Satz 1 DSGVO). Dies bedeutet zudem, dass die betroffenen Personen ihr Recht auf Datenübertragbarkeit geltend machen und gleichzeitig den jeweiligen Service auch weiterhin nutzen können.

Verhältnis zum nationalen Recht

Ein Recht auf Datenübertragbarkeit gibt es bislang nicht. Weder die EU-Datenschutzrichtlinie 95/46/EG oder die deutschen Datenschutzgesetze kennen eine entsprechende Regelung.

Das informationelle Selbstbestimmungsrecht (Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG sowie Art. 8 Abs. 1 GRCh) wird durch die Einführung des Rechts auf Datenübertragbarkeit nunmehr gestärkt.

Das Recht auf Datenübertragbarkeit kann allerdings grundsätzlich nach Art. 23 DSGVO im nationalen Recht noch einmal beschränkt werden. Hiervon wurde durch das Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) kein Gebrauch gemacht.

Darüber hinaus ist der deutsche Gesetzgeber in der Lage,  Ausnahmen bei Verarbeitungen für im öffentlichen Interesse liegende Archivzwecke festzulegen (Art. 89 Abs. 3 DSGVO). Gleiches gilt für die Datenverarbeitung zu journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zwecken (Art. 85 Abs. 2 DSGVO). Das Datenschutz-Anpassungs- und -Umsetzungsgesetz sieht diesbezüglich Einschränkungen des Rechts auf Datenübertagbarkeit vor (vgl. Änderungen zu § 28 Abs. 4 BDSG, BT-Drs. 18/11325).

Kritik am Recht auf Datenübertragbarkeit

Das Recht auf Datenübertragbarkeit ist besonders deshalb Kritik ausgesetzt, weil es wohl erhebliche (technische) Umsetzungsschwierigkeiten mit sich bringen dürfte. Da bislang –trotz der Hinweise der Artikel-29-Datenschutzgruppe und verschiedener Aufsichtsbehörden– zahlreiche praxisrelevante Fragen ungeklärt oder nur unzureichend geklärt sind, besteht letztlich noch eine erhebliche Rechtsunsicherheit.

Sie haben Fragen?

Wir unterstützen Unternehmen bei der Vorbereitung auf die Datenschutz-Grundverordnung (DSGVO). Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Rundum-Service zur DSGVO: Check, Vorbereitung und laufende Beratung
  • Aufbau und Pflege eines Dokumenten-Management-System
  • Mitarbeiterschulung zu den relevanten Neuerungen der Datenschutz-Grundverordnung

Informieren Sie sich hier über unser Leistungsspektrum: Datenschutz-Grundverordnung (DSGVO)

7 Kommentare zu diesem Beitrag

  1. „Der europäische Gesetzgeber hat dabei insbesondere die Fälle vor Augen, in denen beispielsweise ein Nutzer
    – eines sozialen Netzwerks
    – eines Film- oder Musikportals
    – eines E-Mail-Providers/einer Webmail-Applikation
    – eines Cloud-Anbieters
    – von Treue- und Bonuskarten oder
    – mobiler Apps

    den Anbieter wechseln möchte.“

    Bitte um Quellenangabe

  2. Wenn der Verfasser auf seinen Drang nach englischen Textpassagen nicht verzichten kann, sollte zumindest eine deutsche Übersetzung daran folgen. Oder sollen wir als Deutsche tatsächlich die englische Sprache lernen müssen? Ich hätte gern Ihre Meinung dazu.

  3. Hallo, gehen wir davon aus, ein Handwerker hat eine Webseite mit einem Kontaktformular (Name, Emailadresse, Nachricht). Muss dieser auch in seiner DSE auf dieses Recht hinweisen, wenn er, wie man vermuten kann, das überhaupt nicht umsetzen kann? Hierbei handelt es sich ja nicht um einen der o. g. Fälle. Kann dieser Passus dann wegfallen?

    • Die Datenschutz-Grundverordnung sieht das Recht auf Datenübertragbarkeit in Art. 20 DSGVO als Recht der betroffenen Person vor. Dieses ist grundsätzlich -sofern dessen Voraussetzungen vorliegen- auch dann zu erfüllen, wenn einem selbst die Umsetzung nicht möglich ist. Über das Recht auf Datenübertragbarkeit muss auch informiert werden. Sofern die Webseite und das Kontaktformular des Handwerkers von einem Dritten, häufig einem auf Webseiten spezialisierten Anbieter, zur Verfügung gestellt wird, bietet es sich an, beim Anbieter einmal nachzufragen, inwieweit vielleicht eine Lösungen angeboten werden wird.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.