Worum geht's?
Am 25. Mai 2018 trat die Datenschutz-Grundverordnung (DSGVO) in Kraft. Seitdem gibt es auch das „Recht auf Datenübertragbarkeit“. Onlinehändler, Agenturen und andere Dienstleister sind bei der Umsetzung der DSGVO mit praktischen Schwierigkeiten und Rechtsunsicherheit konfrontiert. Doch was ist das Recht auf Datenübertragbarkeit überhaupt? Wie setzen Sie die Vorschriften um? Drohen Ihnen bei Zuwiderhandlung hohe Bußgelder?
1. Was ist das Recht auf Datenübertragbarkeit?
Das "Recht auf Datenübertragbarkeit" gemäß Art. 20 DSGVO ermöglicht Kunden, die Übertragung ihrer personenbezogenen Daten von einem Anbieter zu einem anderen zu verlangen. Diese Regelung stärkt die informationelle Selbstbestimmung und fördert den freien Datenverkehr, um Verbraucherschutz zu gewährleisten. Zudem möchte der Gesetzgeber mit dieser Vorschrift dazu beitragen, datenschutzfreundliche Technologien zu schaffen (Erwägungsgrund 68 der DSGVO).
Dem Bürger soll es möglich sein, dass ein Unternehmen seine Daten bei einem Anbieterwechsel ganz einfach überträgt. Diesen Vorgang soll er mit nur wenigen Klicks beantragen können. Die praktische Umsetzung ist aber schwierig: Der Gesetzgeber setzt standardisierte Datensätze und Schnittstellen, sogenannte APIs, voraus.
Für Sie als Unternehmen ist diese Datenportabilität nachteilig, da Sie nur ungern Nutzer an die Konkurrenz abtreten. Sind die rechtlichen Voraussetzungen erfüllt, haben die betroffenen Personen verschiedene Rechte:
- Sie dürfen verlangen, dass Sie ihnen personenbezogene Daten über ein geeignetes Medium zusenden, beispielsweise über eine Cloud, mittels Barcode oder über einen USB-Stick.
- Sie dürfen verlangen, dass Sie die Daten an einen anderen Anbieter übermitteln.
Stellen Sie die Daten zum Download bereit oder transferieren Sie diese zu einem anderen Anbieter, reicht das normalerweise aus. Der Gesetzgeber zielte mit dem Recht auf Datenübertragbarkeit ursprünglich auf das soziale Netzwerk Facebook ab. Allerdings sind nun auch andere Anbieter betroffen, beispielsweise Suchmaschinen und Anbieter von Fitnesstrackern, Banken, Onlineshops und Businessportale.
2. Wann besteht laut DSGVO das Recht auf Datenübertragbarkeit?
Das Recht auf Datenübertragbarkeit ist ein sogenanntes Betroffenenrecht und ergibt sich aus Art. 20 Absatz 1 DSGVO. Der Nutzer darf dieses Recht beanspruchen, wenn er die folgenden vier Voraussetzungen erfüllt:
- Personenbezogene Daten im Sinne von Art. 4 I DSGVO sind betroffen
- Betroffene Person stellte die Daten dem Verantwortlichen bereit
- Verarbeitung der personenbezogenen Daten aufgrund einer Einwilligung oder eines Vertragsabschlusses Art. 6 I lit.b DSGVO
- Verarbeitung mithilfe automatisierter Verfahren nach Art. 20 Absatz 1 Buchstabe b DSGVO
WUSSTEN SIE'S?
Bei Anbietern von Newslettern, Business-Portalen und Social Media-Angeboten willigen die Betroffenen schon beim Anmeldeprozess in die Datenverarbeitung ein. Bei kostenpflichtigen Angeboten liegt sogar eine vertragliche Regelung vor.
Wann gilt kein Recht auf Datenübertragbarkeit laut DSGVO Art. 20?
Das Recht auf Datenübertragbarkeit besteht nicht in den folgenden Situationen:
- Der Verantwortliche verarbeitet die personenbezogenen Daten zur Wahrnehmung öffentlicher Aufgaben, Art. 20 III S.2 DSGVO.
- Die Datenverarbeitung betrifft die „Rechte und Freiheiten anderer Personen“, Art. 20 IV DSGVO.
- Eine Datenübertragung von einem Anbieter zum anderen ist technisch nicht möglich.
Das Recht auf Datenübertragbarkeit unterliegt natürlichen Grenzen. Eine Datenübertragung ist nur möglich, wenn sie nicht in die Rechte anderer Personen eingreift. Sie müssen im Einzelfall abwägen, ob die Datenübertragung verhältnismäßig ist. Ob eine Datenübertragung die „Rechte und Freiheiten“ anderer Personen tangiert, hängt von der individuellen Situation ab.
Würden Sie durch die Datenübertragung Urheberrechte, geistiges Eigentum oder Geschäftsgeheimnisse verletzen, dürfen Sie diese nicht durchführen. Eine Datenübertragung ist Ihnen auch untersagt, wenn Sie dabei personenbezogene Daten anderer Nutzer übermitteln. Dies ist bei Netzwerkprofilen sehr oft der Fall.
Kein Recht auf Datenübertragbarkeit, ein Beispiel: Sie sind ein E-Mail-Provider. Übertragen Sie sämtliche Daten des E-Mail-Inhabers, übermitteln Sie auch die Kontaktdaten von Familie, Freunden und Verwandten. Gleiches gilt, wenn Sie ein soziales Netzwerk betreiben. Hier übermitteln Sie unter Umständen die personenbezogenen Daten anderer Nutzer.
In den oben genannten Situationen geht die Tendenz dennoch dahin, eine Datenübertragung zu ermöglichen. Ob Sie die Daten im Einzelfall übermitteln müssen, klären Sie am besten, indem Sie einen Rechtsanwalt beauftragen.
3. Wozu sind Sie konkret verpflichtet?
Ein Nutzer Ihrer Dienstleistung fordert eine Datenübertragung an? Dann müssen Sie dieser Aufforderung nur nachkommen, wenn es Ihnen technisch zumutbar ist. Ob eine Datenübertragung zumutbar ist, richtet sich danach, ob Sie über die dafür notwendige Technik verfügen.
Laut DSGVO gilt, dass die betroffene Person die Daten "in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten" hat. Dementsprechend bietet sich die Übertragung per E-Mail, über gängige Office-Dokumente oder via PDF an. Sie können ebenfalls auf Open-Source-Software zurückgreifen.
WICHTIG
Sie sind aber nicht zu jeder Form von Datenübertragung verpflichtet. Sie müssen die Daten jedoch interoperabel zur Verfügung stellen. Interoperabilität bedeutet, dass verschiedene Systeme dazu fähig sind, zusammenzuarbeiten. Die Datenübertragbarkeit nach der DSGVO erfordert also eine Datenportabilität. Außerdem beinhaltet das Recht auf Datenübertragbarkeit nicht gleichzeitig auch die Löschung der sensiblen Daten. Diese muss von den Betroffenen explizit verlangt werden.
Nach Art. 12 III DSGVO müssen Sie einem Antrag auf Datenübertragung innerhalb eines Monats nachkommen. Diese Frist ist unter besonderen Umständen auf drei Monate verlängerbar. Eine Fristverlängerung ist aber nur möglich, wenn Sie viele Anfragen erhalten und der damit verbundene Vorgang komplex und zeitaufwändig ist.
Hat die betroffene Person das Recht auf Datenübertragbarkeit, müssen Sie die Daten kostenlos zur Verfügung stellen und sie auf technisch einfachem Wege übertragen. Schützen Sie die Daten vor Verlust, Zerstörung, Beschädigung und unbefugter Verarbeitung. Zu diesem Zwecke bieten sich beispielsweise Passwörter an.
4. Ist ein Antrag notwendig?
Fordert ein Nutzer Ihrer Dienstleistung eine Datenübertragung gemäß seiner Betroffenenrechte an, muss er zunächst einen (schriftlichen oder mündlichen) Antrag bei Ihnen stellen. Sie dürfen den Antragsteller dazu auffordern, dass er seine Identität in einer geeigneten Art und Weise nachweist. Hegen Sie begründete Zweifel an der Identität des Antragstellers, dürfen Sie seinen Anspruch zurückweisen und zusätzliche Informationen einfordern.
Lehnen Sie einen Antrag ab, müssen Sie die Ablehnung entsprechend begründen. Sollten Sie die „Rechte und Freiheiten“ des Antragstellers missachten, darf sich der Betroffene bei der zuständigen Aufsichtsbehörde beschweren. Diese hat verschiedene Befugnisse und darf auch Bußgelder verhängen. Ihnen drohen Bußgelder von bis zu 20 Millionen Euro oder bis zu vier Prozent Ihres weltweiten Jahresumsatzes.
5. Checkliste: Datenübertragbarkeit für Unternehmen
- Sie sind nur zu einer Datenübertragung verpflichtet, wenn sie Ihnen technisch möglich ist.
- Sie müssen keine speziellen technischen Möglichkeiten schaffen, wohl aber Standard-Programme wie PDF-Dokumente verwenden oder Downloads anbieten.
- Sie dürfen keine Daten übertragen, wenn Sie hierdurch Geschäftsgeheimnisse, Urheberrechte oder geistiges Eigentum verletzen.
- Bearbeiten Sie Anträge innerhalb eines Monats. Diese Frist ist unter bestimmten Umständen auf bis zu drei Monate verlängerbar.
6. FAQ: Die 11 wichtigsten Fragen zum Recht auf Datenübertragbarkeit
Alles, was Sie wissen müssen
Report absenden