Worum geht's?

Am 25. Mai 2018 trat die Datenschutz-Grundverordnung (DSGVO) in Kraft. Seitdem gibt es auch das „Recht auf Datenübertragbarkeit“. Onlinehändler, Agenturen und andere Dienstleister sind bei der Umsetzung der DSGVO mit praktischen Schwierigkeiten und Rechtsunsicherheit konfrontiert. Doch was ist das Recht auf Datenübertragbarkeit überhaupt? Wie setzen Sie die Vorschriften um? Drohen Ihnen bei Zuwiderhandlung hohe Bußgelder?

1. Was ist das Recht auf Datenübertragbarkeit?

Die DSGVO bringt einige rechtliche Neuerungen mit sich. Die wohl meistdiskutierte Vorschrift ist das „Recht auf Datenübertragbarkeit“. Kunden dürfen von ihrem aktuellen Anbieter verlangen, dass er personenbezogene Daten an den neuen Anbieter überträgt. Der Gesetzgeber möchte mit dieser Vorschrift die informationelle Selbstbestimmung und den freien Verkehr personenbezogener Daten stärken. Er begünstigt den Verbraucherschutz und schafft datenschutzfreundliche Technologien (Erwägungsgrund 68 der DSGVO).

Dem Bürger soll es möglich sein, dass ein Unternehmen seine Daten bei einem Anbieterwechsel ganz einfach überträgt. Diesen Vorgang soll er mit nur wenigen Klicks beantragen können. Die praktische Umsetzung ist aber schwierig: Der Gesetzgeber setzt standardisierte Datensätze und Schnittstellen, sogenannte APIs, voraus.

Für Sie als Unternehmen ist diese Datenportabilität nachteilig, da Sie nur ungern Nutzer an die Konkurrenz abtreten. Sind die rechtlichen Voraussetzungen erfüllt, haben die betroffenen Personen verschiedene Rechte:

Sie dürfen verlangen, dass Sie ihnen personenbezogene Daten über ein geeignetes Medium zusenden, beispielsweise über eine Cloud, mittels Barcode oder über einen USB-Stick.
Sie dürfen verlangen, dass Sie die Daten an einen anderen Anbieter übermitteln.

Stellen Sie die Daten zum Download bereit oder transferieren Sie diese zu einem anderen Anbieter, reicht das normalerweise aus. Der Gesetzgeber zielte mit dem Recht auf Datenübertragbarkeit ursprünglich auf das soziale Netzwerk Facebook ab. Allerdings sind nun auch andere Anbieter betroffen, beispielsweise Suchmaschinen und Anbieter von Fitnesstrackern, Banken, Onlineshops und Businessportale.

2. Wann besteht laut DSGVO das Recht auf Datenübertragbarkeit?

Das Recht auf Datenübertragbarkeit ist ein sogenanntes Betroffenenrecht und ergibt sich aus Art. 20 Absatz 1 DSGVO. Der Nutzer darf dieses Recht beanspruchen, wenn er die folgenden vier Voraussetzungen erfüllt:

Personenbezogene Daten im Sinne von Art. 4 I DSGVO sind betroffen
Betroffene Person stellte die Daten dem Verantwortlichen bereit
Verarbeitung der personenbezogenen Daten aufgrund einer Einwilligung oder eines Vertragsabschlusses Art. 6 I lit.b DSGVO
Verarbeitung mithilfe automatisierter Verfahren nach Art. 20 Absatz 1 Buchstabe b DSGVO

Bei Anbietern von Newslettern, Business-Portalen und Social Media-Angeboten willigen die Betroffenen schon beim Anmeldeprozess in die Datenverarbeitung ein. Bei kostenpflichtigen Angeboten liegt sogar eine vertragliche Regelung vor.

Wann gilt kein Recht auf Datenübertragbarkeit laut DSGVO Art. 20?

Das Recht auf Datenübertragbarkeit besteht nicht in den folgenden Situationen:

Der Verantwortliche verarbeitet die personenbezogenen Daten zur Wahrnehmung öffentlicher Aufgaben, Art. 20 III S.2 DSGVO.
Die Datenverarbeitung betrifft die „Rechte und Freiheiten anderer Personen“, Art. 20 IV DSGVO.
Eine Datenübertragung von einem Anbieter zum anderen ist technisch nicht möglich.

Das Recht auf Datenübertragbarkeit unterliegt natürlichen Grenzen. Eine Datenübertragung ist nur möglich, wenn sie nicht in die Rechte anderer Personen eingreift. Sie müssen im Einzelfall abwägen, ob die Datenübertragung verhältnismäßig ist. Ob eine Datenübertragung die „Rechte und Freiheiten“ anderer Personen tangiert, hängt von der individuellen Situation ab.

Würden Sie durch die Datenübertragung Urheberrechte, geistiges Eigentum oder Geschäftsgeheimnisse verletzen, dürfen Sie diese nicht durchführen. Eine Datenübertragung ist Ihnen auch untersagt, wenn Sie dabei personenbezogene Daten anderer Nutzer übermitteln. Dies ist bei Netzwerkprofilen sehr oft der Fall.

Kein Recht auf Datenübertragbarkeit, ein Beispiel: Sie sind ein E-Mail-Provider. Übertragen Sie sämtliche Daten des E-Mail-Inhabers, übermitteln Sie auch die Kontaktdaten von Familie, Freunden und Verwandten. Gleiches gilt, wenn Sie ein soziales Netzwerk betreiben. Hier übermitteln Sie unter Umständen die personenbezogenen Daten anderer Nutzer.

In den oben genannten Situationen geht die Tendenz dennoch dahin, eine Datenübertragung zu ermöglichen. Ob Sie die Daten im Einzelfall übermitteln müssen, klären Sie am besten, indem Sie einen Rechtsanwalt beauftragen.

Sie haben Fragen oder wollen Ihre Webseite prüfen lassen? Dann wenden Sie sich an unsere Experten der Kanzlei Siebert Lexow!

Sören SiebertRechtsanwalt

3. Wozu sind Sie konkret verpflichtet?

Ein Nutzer Ihrer Dienstleistung fordert eine Datenübertragung an? Dann müssen Sie dieser Aufforderung nur nachkommen, wenn es Ihnen technisch zumutbar ist. Ob eine Datenübertragung zumutbar ist, richtet sich danach, ob Sie über die dafür notwendige Technik verfügen.

Laut DSGVO gilt, dass die betroffene Person die Daten "in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten" hat. Dementsprechend bietet sich die Übertragung per E-Mail, über gängige Office-Dokumente oder via PDF an. Sie können ebenfalls auf Open-Source-Software zurückgreifen.

Wichtig: Sie sind aber nicht zu jeder Form von Datenübertragung verpflichtet. Sie müssen die Daten jedoch interoperabel zur Verfügung stellen. Interoperabilität bedeutet, dass verschiedene Systeme dazu fähig sind, zusammenzuarbeiten. Die Datenübertragbarkeit nach der DSGVO erfordert also eine Datenportabilität. Außerdem beinhaltet das Recht auf Datenübertragbarkeit nicht gleichzeitig auch die Löschung der sensiblen Daten. Diese muss von den Betroffenen explizit verlangt werden.

Nach Art. 12 III DSGVO müssen Sie einem Antrag auf Datenübertragung innerhalb eines Monats nachkommen. Diese Frist ist unter besonderen Umständen auf drei Monate verlängerbar. Eine Fristverlängerung ist aber nur möglich, wenn Sie viele Anfragen erhalten und der damit verbundene Vorgang komplex und zeitaufwändig ist.

Hat die betroffene Person das Recht auf Datenübertragbarkeit, müssen Sie die Daten kostenlos zur Verfügung stellen und sie auf technisch einfachem Wege übertragen. Schützen Sie die Daten vor Verlust, Zerstörung, Beschädigung und unbefugter Verarbeitung. Zu diesem Zwecke bieten sich beispielsweise Passwörter an.

4. Ist ein Antrag notwendig?

Fordert ein Nutzer Ihrer Dienstleistung eine Datenübertragung gemäß seiner Betroffenenrechte an, muss er zunächst einen (schriftlichen oder mündlichen) Antrag bei Ihnen stellen. Sie dürfen den Antragsteller dazu auffordern, dass er seine Identität in einer geeigneten Art und Weise nachweist. Hegen Sie begründete Zweifel an der Identität des Antragstellers, dürfen Sie seinen Anspruch zurückweisen und zusätzliche Informationen einfordern.

Lehnen Sie einen Antrag ab, müssen Sie die Ablehnung entsprechend begründen. Sollten Sie die „Rechte und Freiheiten“ des Antragstellers missachten, darf sich der Betroffene bei der zuständigen Aufsichtsbehörde beschweren. Diese hat verschiedene Befugnisse und darf auch Bußgelder verhängen. Ihnen drohen Bußgelder von bis zu 20 Millionen Euro oder bis zu vier Prozent Ihres weltweiten Jahresumsatzes.

5. Checkliste: Datenübertragbarkeit für Unternehmen

Folgende Ratschläge sollten Sie gemäß DSGVO für die Datenübertragbarkeit beherzigen:

6. FAQ: Die 11 wichtigsten Fragen zum Recht auf Datenübertragbarkeit

1. Wann besteht das Recht auf Datenübertragbarkeit?

Das Recht auf Datenübertragbarkeit besteht nur unter bestimmten Voraussetzungen. Der Antragsteller muss personenbezogene Daten bereitgestellt haben. Er muss in die Verarbeitung eingewilligt haben oder die Datenverarbeitung muss aufgrund eines Vertrags nach Art. 6 I lit. b DSGVO beruhen. Außerdem ist erforderlich, dass die Datenverarbeitung über ein automatisiertes Verfahren erfolgte.

2. Wer ist zur Datenübertragung verpflichtet?

Das Recht auf Datenübertragbarkeit betrifft im Grunde jeden, der personenbezogene Daten über ein automatisiertes Verfahren erhebt. Betroffen sind also beispielsweise Onlinehändler, Versender von Newslettern, Business-Portale, soziale Netzwerke und Betreiber von Social Media-Angeboten.

3. Welchen Pflichten unterliegen Sie genau?

Sie müssen dem Nutzer nach einem entsprechenden Antrag seine personenbezogenen Daten zum Download bereitstellen oder diese zu einem anderen Anbieter übermitteln.

4. Wann besteht das Recht auf Datenübertragbarkeit nicht?

Das Recht auf Datenübertragbarkeit gilt nicht uneingeschränkt. Ist Ihnen eine Datenübertragung technisch nicht möglich oder zumutbar, müssen Sie diese nicht durchführen. Eine Datenübertragung ist sogar verboten, wenn sie die Rechte und Freiheiten anderer Personen einschränkt. Wenn Sie personenbezogene Daten zur Wahrnehmung öffentlicher Aufgaben verarbeiten, sind Sie nicht zur Datenübertragung verpflichtet.

5. Wie lange darf eine Datenübertragung dauern?

Die Frist beträgt einen Monat ab Antragstellung, richtet sich aber nach der Komplexität des Vorhabens im Einzelfall. Sie dürfen die Datenübertragung jedenfalls nicht absichtlich verzögern.

6. Dürfen Sie für die Datenübertragung eine Gebühr erheben?

Nein, Sie dürfen die Datenübertragung nicht von einer finanziellen Gegenleistung abhängig machen.

7. Müssen Sie die Daten verschlüsseln?

Die Datenübertragung muss auf einem technisch einfachen Wege erfolgen. Schützen Sie die Daten vor Verlust, Zerstörung, Beschädigung und unbefugter Verarbeitung. Es bietet sich an, dass Sie die Daten durch Passwörter schützen.

8. Wie fordern Betroffene ihre Daten an?

Betroffene fordern die Datenübertragung ein, indem sie einen entsprechenden Antrag stellen. Dabei müssen sie ihre Identität nachweisen. Hegen Sie Zweifel an der Identität des Antragstellers, fordern Sie am besten zusätzliche Informationen ein.

9. Müssen Sie eine Ablehnung begründen?

Lehnen Sie einen Antrag ab, etwa weil die Datenübertragung die Rechte anderer Personen verletzt, müssen Sie die Ablehnung entsprechend begründen.

10. Wie wehren sich Betroffene gegen eine Ablehnung?

Betroffene Nutzer können sich bei der zuständigen Aufsichtsbehörde beschweren. Diese darf Bußgelder von bis zu 20 Millionen Euro verhängen. Alternativ ist ein Bußgeld von bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens möglich.

11. Müssen Sie jetzt neue technische Systeme einrichten?

Sie müssen nur diejenigen Maßnahmen ergreifen, die Ihnen technisch zumutbar sind. Sie sind nur dazu verpflichtet, dass Sie die vorhandene Infrastruktur nutzen oder auf gängige Office-Programme oder PDF-Dokumente zurückgreifen. Sie müssen nicht jede Form von Datenübertragung unterstützen. Es ist aber wichtig, dass Sie die Daten interoperabel zur Verfügung stellen.

Lsdt 3 Jahre 5 Monate

Hallo,vielen Dank für den tollen Beitrag. Lt. Gesetzestext ist allerdings ein Vertrag (Art. 6 Abs. 1 lit.b DSGVO) erforderlich, nicht das berechtigte Interesse. Sie haben die passende RGL zwar genannt, diese spricht aber nicht vom berechtigten Interesse. Das gibt es in der Nr. 2 Ihres Beitrags sowie nochmal bei den Fragen (Nr. 1).