Im Gegensatz zu anderen Betroffenenrechten zog das Recht auf Datenübertragbarkeit erst mit der Datenschutz-Grundverordnung (DSGVO) in die europäische Gesetzgebung ein. Das in Art. 20 DSGVO normierte Recht soll gewährleisten, dass jede betroffene Person ihre personenbezogenen Daten herausverlangen kann. Die Herausgabe ist jedoch an einige Bedingungen und Einschränkungen geknüpft – wie dieser Artikel zeigt.
Gesetzliche Voraussetzungen für die Ausübung des Rechts
Betrachtet man den Gesetzestext, so finden sich dort bereits einige konkrete Anforderungen an das Recht auf Datenübertragbarkeit. Zunächst muss es sich um die personenbezogenen Daten der betroffenen Person handeln, welche diese einem Verantwortlichen bereitgestellt hat. Damit fallen bereits Daten aus dem Anwendungsbereich, die der versendende Verantwortliche selbst ermittelt hat. Gleiches gilt, wenn er aus bereitgestellten Daten eigene Rückschlüsse gezogen hat.
Darüber hinaus muss der Verantwortliche die Daten in einem strukturierten, gängigen und maschinenlesbaren Format herausgeben. Maschinenlesbar sind in jedem Fall elektronische Daten. Jedoch können auch Informationen auf Papier maschinenlesbar sein, wenn diese leicht eingescannt und maschinenlesbar gemacht werden können. Gängig sind Formate, die keine Eigenentwicklung darstellen und ohne großen Aufwand verarbeitet werden können. Strukturiert sind Daten, wenn das Ausgangsformat in gewisser Form bestehen bleibt. Werden etwa einzelne Chat-Nachrichten im Fließtext zusammengefasst, ist die Strukturiertheit vermutlich nicht mehr gegeben, da ein anderer Verantwortlicher diese Daten nicht einfach weiterverwenden kann.
Zudem muss die Datenübertragbarkeit nur dann gewährleistet werden, wenn die Datenverarbeitung auf Basis einer Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO bzw. Art. 9 Abs. 2 lit. a DSGVO erfolgt oder auf einem Vertrag gemäß Art. 6 Abs. 1 lit b DSGVO beruht. Die Datenverarbeitung aufgrund rechtlicher Verpflichtungen gem. Art. 6 Abs. 1 lit. c DSGVO und zur Wahrung berechtigter Interessen gem. Art. 6 Abs. 1 lit. f DSGVO fällt aus dem Anwendungsbereich heraus. Ebenso gilt dieses Recht nicht für Verarbeitungen, die erforderlich sind, um eine Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt wahrzunehmen. Klargestellt wird dies in Art. 20 Abs. 3 S. 2 DSGVO.
Zuletzt erfasst das Recht auf Datenübertragbarkeit nur Verarbeitungen, die mit Hilfe automatisierter Verfahren erfolgen. Dies schließt grundsätzlich Verarbeitungen aus, die nicht maschinenlesbar erfolgen und für die Datenübertragbarkeit eingelesen werden müssten. Papierakten sind daher in der Regel vom Recht auf Datenübertragbarkeit ausgeschlossen.
Absatz 3 stellt darüber hinaus klar, dass neben dem Recht auf Datenübertragbarkeit auch das Recht auf Löschung besteht. Allein aufgrund bestehender Aufbewahrungspflichten, besonders im Rahmen der Vertragsabwicklung, kann eine automatische Löschung bei Übertragung nicht erfolgen. Daher hat die betroffene Person weiterhin das Recht auf Löschung, unabhängig vom Recht auf Datenübertragbarkeit.
Zuletzt geht aus Art. 20 Abs. 4 DSGVO hervor, dass Rechte und Freiheiten anderer Personen nicht beeinträchtigt werden dürfen. Diese Verpflichtung trifft die betroffene Person, da der Verantwortliche eine Beeinträchtigung des Rechts anderer Personen in der Regel nicht überprüfen kann. Zu diesen Rechten und Freiheiten gehören neben datenschutzrechtlichen Aspekten auch andere geistige Eigentumsrechte, wie etwa Urheberrechte und Geschäftsgeheimnisse.
Ziel des Rechts und Anwendungsbereich
Praktisch gesehen beschäftigt sich Art. 20 Abs. 1 DSGVO mit der Übermittlung von personenbezogenen Daten von einem Verantwortlichen (im Folgenden versendender Verantwortlicher) zu einem anderen Verantwortlichen (im Folgenden empfangender Verantwortlicher). Zwar kann die betroffene Person ebenfalls die Herausgabe an sich selbst verlangen, allerdings ähnelt dieses Recht stark dem Recht auf Kopie im Rahmen des Auskunftsrechts gem. Art. 15 Abs. 3 DSGVO. Letzteres reicht jedoch weiter, da es nicht nur von der betroffenen Person selbst bereitgestellte Daten erfasst. Daher wird eine betroffene Person in der Regel eher das Auskunftsrecht gem. Art. 15 DSGVO geltend machen.
Im Kern soll das Betroffenenrecht die einfache Datenweitergabe an einen anderen Verantwortlichen gewährleisten. Dies kann etwa erforderlich sein, um einen Anbieterwechsel zu ermöglichen bzw. zu erleichtern. Das zeigt vor allem Art. 20 Abs. 2 DSGVO, welcher die Übermittlung direkt vom versendenden zum empfangenden Verantwortlichen ermöglichen soll. Zudem soll dies auch den sogenannten „Lock-in-Effekt“ verhindern, also die Bindung an einen Anbieter, weil ein Wechsel zu umständlich ist. Damit hat der Gesetzgeber indirekt einen Fokus auf soziale Netzwerke gelegt, welche durch diesen Effekt sonst einen einfachen Wechsel verhindern könnten.
Auch wenn der genaue praktische Anwendungsbereich in der Literatur umstritten ist, so sind sich die meisten Kommentatoren doch einig, dass Art. 20 DSGVO auf viele Datenverarbeitungsvorgänge nicht anwendbar ist. Denkbar sind neben den sozialen Netzwerken andere Portale und Systeme, bei denen ein Anbieterwechsel auch von der Datenübertragung abhängt. Hierunter fallen etwa Cloud-Anbieter oder Webmail-Provider. Allerdings enthalten gewerbliche Clouds nicht nur personenbezogene Daten, die den Anspruchsinhaber betreffen, weswegen die Norm hier wohl nicht anwendbar ist. Ähnlich verhält es sich bei Webmail-Providern.
Praktische Umsetzung des Rechts auf Datenübertragbarkeit
In der Praxis ist bei einem Antrag auf Datenübertragbarkeit zunächst zu prüfen, ob die gesetzlichen Voraussetzungen bei den eigenen Dienstleistungen erfüllt sind. Ist dies der Fall, muss der versendende Verantwortliche die personenbezogenen Daten entsprechend herausgeben oder, wenn dies technisch möglich und gewünscht ist, direkt an den empfangenden Verantwortlichen weiterleiten.
Auch dieses Betroffenenrecht ist gemäß Art. 12 Abs. 3 Satz 1 DSGVO unverzüglich, spätestens aber innerhalb eines Monats, zu erfüllen. Um hierbei nicht unter Zeitdruck zu geraten, ist es sinnvoll, vorab zu prüfen, ob die eigenen Datenverarbeitungen in den Anwendungsbereich des Art. 20 DSGVO fallen. Sofern dies der Fall ist, muss der Verantwortliche gewährleisten, dass er die Daten in einem strukturierten, gängigen und maschinenlesbaren Format herausgeben kann. Die Herausgabe muss über verschlüsselte Kanäle erfolgen.
Fazit: Recht auf Datenübertragbarkeit spielt kaum eine Rolle
Aufgrund des beschränkten Anwendungsbereichs sowie der Ausnahmen und der Möglichkeit des Auskunftsrechts gem. Art. 15 DSGVO wird das Recht auf Datenübertragbarkeit ein Schattendasein fristen und nur für wenige Verantwortliche relevant sein. Dies zumindest so lange, bis der Gesetzgeber Verbesserungen anstellt, die den Anwendungsbereich auf weitere praktische Fälle erweitern.
In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.