Skip to main content

Das Recht auf Datenportabilität (DSGVO)

Das Recht auf Datenportabilität (Art. 20 DSGVO) soll dem Betroffenen bei Datenverarbeitungen, die mit Hilfe automatisierter Verfahren durchgeführt worden sind, die Möglichkeit verschaffen, die von Ihm an den Verantwortlichen bereitgestellten Daten in einem strukturierten, gängigen, maschinenlesbaren und interoperablen Format, einem neuen Verantwortlichen übermitteln zu können. Um dem Betroffenen die Ausübung seines Rechts zu ermöglichen, hat die verantwortliche Stelle den Betroffenen daher zunächst über das Bestehen eines solchen Rechts nach Maßgabe der Art.13ff. zu unterrichten.

Zur Ausübung des Rechts kann sich der Betroffene die Daten direkt vom Verantwortlichen übergeben lassen. Außerdem kann er den Verantwortlichen Anweisen, die Daten an den neuen Anbieter (neuer Verantwortlicher) zu übertragen.

Die übrigen Betroffenenrechte bleiben neben dem Recht auf Datenportabilität unberührt. Insbesondere ist der ursprünglich für die Verarbeitung der Daten Verantwortliche nicht verpflichtet, die Daten nach Übergabe an den neuen Verantwortlichen zu löschen. Vielmehr obliegt es dem Betroffenen einen solchen Anspruch dezidiert gegenüber diesem geltend zu machen. Damit handelt es sich bei dem Recht auf Datenportabilität im Ergebnis um einen eigenständigen modifizierten Auskunftsanspruch, der neben den allgemeinen Auskunftsanspruch aus Art. 15 DSGVO tritt.

Sinn und Zweck der Vorschrift ist es, dem Betroffenen hinreichende Kontrollbefugnisse über seine personenbezogenen Daten einzuräumen um damit im Ergebnis wettbewerbsrechtliche Hemmschwellen bei einem potentiellen Anbieterwechsel abzubauen.

Einschränkungen des Rechts

Das Recht des Betroffenen beschränkt sich grundsätzlich auf personenbezogene Daten, die der ursprüngliche Verantwortliche aufgrund einer Einwilligung oder eines zugrundeliegenden Vertrags mit dem Betroffenen verarbeiten durfte.

Das Recht für den Betroffenen besteht weiter nicht, wenn die verantwortliche Stelle Aufgaben im öffentlichen Interesse wahrnimmt oder die Verarbeitung in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.

Ansprüche Dritter und weitere Probleme

§20 Abs. 4 DSGVO regelt, dass die Ausübung des Rechts auf Datenportabiltät, die Rechte und Freiheiten anderer Personen nicht beeinträchtigen darf. Aufgrund der Tatsache, dass Datenverarbeitungen in der Regel gemeinsam mit anderen Datenverarbeitungen stattfindet und daher personenbezogenen Daten Dritter betreffen können, schränkt die Norm den Anwendungsbereich des Auskunftsrechts auf selbst betreffende Daten des Betroffenen ein. Ist beispielsweise auf einer Social Media Plattform ein Foto mehrere Personen abgebildet, verbietet es sich, die Bilddatei an den Betroffenen oder den neuen Verantwortlichen zu übermitteln, da diese, personenbezogene Daten Dritter enthalten und somit Rechte und Freiheiten anderer Personen beeinträchtigt sein könnten.

Fraglich ist auch, welche selbstbetreffenden Daten des Betroffenen inhaltlich vom Recht auf Datenportabiität erfasst werden. Dem Wortlaut nach kann der Betroffene nur solche Daten portieren lassen, die er dem Verantwortlichen auch bereitgestellt hat. Die DSGVO enthält jedoch keine Definition des Begriffs bereitstellen. Insofern ergeben sich hinsichtlich der Auslegung des Begriffs Unsicherheiten, welche letztlich zu zwei divergierenden Ansichten geführt haben.

Unbestritten versteht man unter dem Begriff bereitstellen zunächst einmal alle personenbezogenen Daten des Betroffenen, die dieser direkt und wissentlich in die Systeme der verantwortlichen Stelle eingegeben oder hochgeladen hat. Schwieriger beurteilt sich die Frage der Bereitstellung für Datensätze die aufgrund der Nutzung des Dienstes oder der Plattform durch den Betroffenen selbst erzeugt werden.

Die WP29-Gruppe ist der Ansicht, dass solche Daten dem Grunde nach ebenfalls durch den Betroffenen bereitgestellt werden. Damit fiele beispielsweise auch die Nutzerhistorie einer Videoplattform grundsätzlich unter das Recht zur Datenportabilität und muss bei dessen Ausübung mit übertragen werden. Der notwendige Personenbezug solcher Datensätze wird dabei durch die Bereitstellung des Betroffenen hergestellt. Nicht bereitgestellt sind solche Daten, die vom Verantwortlichen selbst, beispielsweise durch Analyseverfahren o.ä., erzeugt werden. Diese abgeleiteten (oder inferred bzw. derived) Daten fallen demnach nicht unter das Auskunftsrecht des Betroffenen. Beispielshaft seien hier abgeleitete Gesundheitsdaten oder die Beurteilung der Kreditwürdigkeit des Betroffenen aufgrund seiner Angaben genannt.

Die Bitcom dagegen vertritt den Standpunkt, dass es bei der Beurteilung, ob Datensätze durch den Betroffenen bereitgestellt wurden, auf den Sinn und Zweck der erfassten Datensätze ankommt. Sind die Daten für die Funktionalität des Dienstes erforderlich, sind diese mit Blick auf die Zielsetzung der Norm ebenfalls durch den Betroffenen bereitgestellt. Damit ist gewährleistet, dass dieser mit möglichst geringem Aufwand zu einem neuen Anbieter wechseln kann, ohne dass der angestrebte Funktionsumfang durch den Umzug eingeschränkt wird. Datensätze, die losgelöst von der eigentlichen Funktion des Dienstes als Nebenprodukte erzeugt werden (Logfiles, Verkehrsdaten) sind somit nicht durch den Betroffenen bereitgestellt und müssen folglich nicht durch die verantwortliche Stelle portiert werden. Im Wesentlichen beschränkt sich damit der Anwendungsbereich auf die vom Betroffenen abgegebenen Stammdaten, da diese zur Abwicklung der angebotenen Dienstleistung (Bsp. E-Commerce) zwingend erforderlich sind.

Was gilt es ansonsten zu beachten?

Die Verantwortliche Stelle muss das Auskunftsersuchen des Betroffenen nur dann bearbeiten, wenn dessen Identität zweifelsfrei durch die verantwortliche Stelle sichergestellt ist. Unterläuft hierbei ein Fehler oder verzichtet man aus Nachlässigkeit auf eine Identitätsfeststellung und stellt die Daten somit Dritten zur Verfügung, liegt immer eine meldepflichtige Datenpanne vor. Die Implementierung eines eindeutigen Authentifizierungsverfahrens sollte daher im Vorfeld der eigentlichen Verarbeitung der personenbezogenen Daten abgeschlossen sein.

Daneben hat die verantwortliche Stelle das Auskunftsersuchen des Betroffenen unentgeltlich zu erfüllen (Art. 12 Abs. 5 DSGVO). Außerdem muss der Anspruch unverzüglich, spätestens jedoch innerhalb eines Monats durch die verantwortliche Stelle erfüllt werden. Bei der Implementierung neuer Angebote sollten diese beiden Umstände ebenfalls hinreichend berücksichtigt werden.

Drucken

Wenn dir der Artikel gefallen hat, teile ihn einfach: