Recht auf Datenübertragbarkeit

Was Sie als Unternehmer bezüglich des Rechts auf Datenübertragbarkeit gemäß DSGVO beachten müssen

Fachlich geprüft von: Caroline Schmidt Caroline Schmidt
(25 Bewertungen, 2.44 von 5)

Das Wichtigste in Kürze

  • Bei dem Recht auf Datenübertragbarkeit handelt es sich um ein Betroffenenrecht für einzelne natürliche Personen.
  • Unternehmen stehen in der Pflicht, auf Anfrage von Betroffenen, personenbezogene Daten an einen Anbieter zu übertragen.
  • Kommen Sie dieser Pflicht nicht oder nicht rechtzeitig nach, drohen Bußgelder von bis zu 20 Millionen Euro oder bis zu vier Prozent Ihres weltweiten Jahresumsatzes.

Worum geht's?

Am 25. Mai 2018 trat die Datenschutz-Grundverordnung (DSGVO) in Kraft. Seitdem gibt es auch das „Recht auf Datenübertragbarkeit“. Onlinehändler, Agenturen und andere Dienstleister sind bei der Umsetzung der DSGVO mit praktischen Schwierigkeiten und Rechtsunsicherheit konfrontiert. Doch was ist das Recht auf Datenübertragbarkeit überhaupt? Wie setzen Sie die Vorschriften um? Drohen Ihnen bei Zuwiderhandlung hohe Bußgelder?

1. Was ist das Recht auf Datenübertragbarkeit?

Das "Recht auf Datenübertragbarkeit" gemäß Art. 20 DSGVO ermöglicht Kunden, die Übertragung ihrer personenbezogenen Daten von einem Anbieter zu einem anderen zu verlangen. Diese Regelung stärkt die informationelle Selbstbestimmung und fördert den freien Datenverkehr, um Verbraucherschutz zu gewährleisten. Zudem möchte der Gesetzgeber mit dieser Vorschrift dazu beitragen, datenschutzfreundliche Technologien zu schaffen (Erwägungsgrund 68 der DSGVO).

Dem Bürger soll es möglich sein, dass ein Unternehmen seine Daten bei einem Anbieterwechsel ganz einfach überträgt. Diesen Vorgang soll er mit nur wenigen Klicks beantragen können. Die praktische Umsetzung ist aber schwierig: Der Gesetzgeber setzt standardisierte Datensätze und Schnittstellen, sogenannte APIs, voraus.

Für Sie als Unternehmen ist diese Datenportabilität nachteilig, da Sie nur ungern Nutzer an die Konkurrenz abtreten. Sind die rechtlichen Voraussetzungen erfüllt, haben die betroffenen Personen verschiedene Rechte:

  • Sie dürfen verlangen, dass Sie ihnen personenbezogene Daten über ein geeignetes Medium zusenden, beispielsweise über eine Cloud, mittels Barcode oder über einen USB-Stick.
  • Sie dürfen verlangen, dass Sie die Daten an einen anderen Anbieter übermitteln.

Stellen Sie die Daten zum Download bereit oder transferieren Sie diese zu einem anderen Anbieter, reicht das normalerweise aus. Der Gesetzgeber zielte mit dem Recht auf Datenübertragbarkeit ursprünglich auf das soziale Netzwerk Facebook ab. Allerdings sind nun auch andere Anbieter betroffen, beispielsweise Suchmaschinen und Anbieter von Fitnesstrackern, Banken, Onlineshops und Businessportale.

2. Wann besteht laut DSGVO das Recht auf Datenübertragbarkeit?

Das Recht auf Datenübertragbarkeit ist ein sogenanntes Betroffenenrecht und ergibt sich aus Art. 20 Absatz 1 DSGVO. Der Nutzer darf dieses Recht beanspruchen, wenn er die folgenden vier Voraussetzungen erfüllt:

  1. Personenbezogene Daten im Sinne von Art. 4 I DSGVO sind betroffen
  2. Betroffene Person stellte die Daten dem Verantwortlichen bereit
  3. Verarbeitung der personenbezogenen Daten aufgrund einer Einwilligung oder eines Vertragsabschlusses Art. 6 I lit.b DSGVO
  4. Verarbeitung mithilfe automatisierter Verfahren nach Art. 20 Absatz 1 Buchstabe b DSGVO

WUSSTEN SIE'S?

Bei Anbietern von Newslettern, Business-Portalen und Social Media-Angeboten willigen die Betroffenen schon beim Anmeldeprozess in die Datenverarbeitung ein. Bei kostenpflichtigen Angeboten liegt sogar eine vertragliche Regelung vor. 

Wann gilt kein Recht auf Datenübertragbarkeit laut DSGVO Art. 20?

Das Recht auf Datenübertragbarkeit besteht nicht in den folgenden Situationen:

  • Der Verantwortliche verarbeitet die personenbezogenen Daten zur Wahrnehmung öffentlicher Aufgaben, Art. 20 III S.2 DSGVO.
  • Die Datenverarbeitung betrifft die „Rechte und Freiheiten anderer Personen“, Art. 20 IV DSGVO.
  • Eine Datenübertragung von einem Anbieter zum anderen ist technisch nicht möglich.

Das Recht auf Datenübertragbarkeit unterliegt natürlichen Grenzen. Eine Datenübertragung ist nur möglich, wenn sie nicht in die Rechte anderer Personen eingreift. Sie müssen im Einzelfall abwägen, ob die Datenübertragung verhältnismäßig ist. Ob eine Datenübertragung die „Rechte und Freiheiten“ anderer Personen tangiert, hängt von der individuellen Situation ab.

Würden Sie durch die Datenübertragung Urheberrechte, geistiges Eigentum oder Geschäftsgeheimnisse verletzen, dürfen Sie diese nicht durchführen. Eine Datenübertragung ist Ihnen auch untersagt, wenn Sie dabei personenbezogene Daten anderer Nutzer übermitteln. Dies ist bei Netzwerkprofilen sehr oft der Fall.

Sören Siebert
Sören SiebertRechtsanwalt

Kein Recht auf Datenübertragbarkeit, ein Beispiel: Sie sind ein E-Mail-Provider. Übertragen Sie sämtliche Daten des E-Mail-Inhabers, übermitteln Sie auch die Kontaktdaten von Familie, Freunden und Verwandten. Gleiches gilt, wenn Sie ein soziales Netzwerk betreiben. Hier übermitteln Sie unter Umständen die personenbezogenen Daten anderer Nutzer.

In den oben genannten Situationen geht die Tendenz dennoch dahin, eine Datenübertragung zu ermöglichen. Ob Sie die Daten im Einzelfall übermitteln müssen, klären Sie am besten, indem Sie einen Rechtsanwalt beauftragen.

3. Wozu sind Sie konkret verpflichtet?

Ein Nutzer Ihrer Dienstleistung fordert eine Datenübertragung an? Dann müssen Sie dieser Aufforderung nur nachkommen, wenn es Ihnen technisch zumutbar ist. Ob eine Datenübertragung zumutbar ist, richtet sich danach, ob Sie über die dafür notwendige Technik verfügen.

Laut DSGVO gilt, dass die betroffene Person die Daten "in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten" hat. Dementsprechend bietet sich die Übertragung per E-Mail, über gängige Office-Dokumente oder via PDF an. Sie können ebenfalls auf Open-Source-Software zurückgreifen.

WICHTIG

Sie sind aber nicht zu jeder Form von Datenübertragung verpflichtet. Sie müssen die Daten jedoch interoperabel zur Verfügung stellen. Interoperabilität bedeutet, dass verschiedene Systeme dazu fähig sind, zusammenzuarbeiten. Die Datenübertragbarkeit nach der DSGVO erfordert also eine Datenportabilität. Außerdem beinhaltet das Recht auf Datenübertragbarkeit nicht gleichzeitig auch die Löschung der sensiblen Daten. Diese muss von den Betroffenen explizit verlangt werden.

Nach Art. 12 III DSGVO müssen Sie einem Antrag auf Datenübertragung innerhalb eines Monats nachkommen. Diese Frist ist unter besonderen Umständen auf drei Monate verlängerbar. Eine Fristverlängerung ist aber nur möglich, wenn Sie viele Anfragen erhalten und der damit verbundene Vorgang komplex und zeitaufwändig ist.

Hat die betroffene Person das Recht auf Datenübertragbarkeit, müssen Sie die Daten kostenlos zur Verfügung stellen und sie auf technisch einfachem Wege übertragen. Schützen Sie die Daten vor Verlust, Zerstörung, Beschädigung und unbefugter Verarbeitung. Zu diesem Zwecke bieten sich beispielsweise Passwörter an.

4. Ist ein Antrag notwendig?

Fordert ein Nutzer Ihrer Dienstleistung eine Datenübertragung gemäß seiner Betroffenenrechte an, muss er zunächst einen (schriftlichen oder mündlichen) Antrag bei Ihnen stellen. Sie dürfen den Antragsteller dazu auffordern, dass er seine Identität in einer geeigneten Art und Weise nachweist. Hegen Sie begründete Zweifel an der Identität des Antragstellers, dürfen Sie seinen Anspruch zurückweisen und zusätzliche Informationen einfordern.

Lehnen Sie einen Antrag ab, müssen Sie die Ablehnung entsprechend begründen. Sollten Sie die „Rechte und Freiheiten“ des Antragstellers missachten, darf sich der Betroffene bei der zuständigen Aufsichtsbehörde beschweren. Diese hat verschiedene Befugnisse und darf auch Bußgelder verhängen. Ihnen drohen Bußgelder von bis zu 20 Millionen Euro oder bis zu vier Prozent Ihres weltweiten Jahresumsatzes.

5. Checkliste: Datenübertragbarkeit für Unternehmen

Sie möchten entsprechend der DSGVO eine Datenübertragbarkeit gewährleisten?
Folgende Ratschläge sollten Sie beherzigen:
  • Sie sind nur zu einer Datenübertragung verpflichtet, wenn sie Ihnen technisch möglich ist.
  • Sie müssen keine speziellen technischen Möglichkeiten schaffen, wohl aber Standard-Programme wie PDF-Dokumente verwenden oder Downloads anbieten.
  • Sie dürfen keine Daten übertragen, wenn Sie hierdurch Geschäftsgeheimnisse, Urheberrechte oder geistiges Eigentum verletzen.
  • Bearbeiten Sie Anträge innerhalb eines Monats. Diese Frist ist unter bestimmten Umständen auf bis zu drei Monate verlängerbar.

6. FAQ: Die 11 wichtigsten Fragen zum Recht auf Datenübertragbarkeit

1. Wann besteht das Recht auf Datenübertragbarkeit?

Das Recht auf Datenübertragbarkeit besteht nur unter bestimmten Voraussetzungen. Der Antragsteller muss personenbezogene Daten bereitgestellt haben. Er muss in die Verarbeitung eingewilligt haben oder die Datenverarbeitung muss aufgrund eines Vertrags nach Art. 6 I lit. b DSGVO beruhen. Außerdem ist erforderlich, dass die Datenverarbeitung über ein automatisiertes Verfahren erfolgte.

2. Wer ist zur Datenübertragung verpflichtet?

Das Recht auf Datenübertragbarkeit betrifft im Grunde jeden, der personenbezogene Daten über ein automatisiertes Verfahren erhebt. Betroffen sind also beispielsweise Onlinehändler, Versender von Newslettern, Business-Portale, soziale Netzwerke und Betreiber von Social Media-Angeboten.

3. Welchen Pflichten unterliegen Sie genau?

Sie müssen dem Nutzer nach einem entsprechenden Antrag seine personenbezogenen Daten zum Download bereitstellen oder diese zu einem anderen Anbieter übermitteln.

4. Wann besteht das Recht auf Datenübertragbarkeit nicht?

Das Recht auf Datenübertragbarkeit gilt nicht uneingeschränkt. Ist Ihnen eine Datenübertragung technisch nicht möglich oder zumutbar, müssen Sie diese nicht durchführen. Eine Datenübertragung ist sogar verboten, wenn sie die Rechte und Freiheiten anderer Personen einschränkt. Wenn Sie personenbezogene Daten zur Wahrnehmung öffentlicher Aufgaben verarbeiten, sind Sie nicht zur Datenübertragung verpflichtet.

5. Wie lange darf eine Datenübertragung dauern?

Die Frist beträgt einen Monat ab Antragstellung, richtet sich aber nach der Komplexität des Vorhabens im Einzelfall. Sie dürfen die Datenübertragung jedenfalls nicht absichtlich verzögern.

6. Dürfen Sie für die Datenübertragung eine Gebühr erheben?

Nein, Sie dürfen die Datenübertragung nicht von einer finanziellen Gegenleistung abhängig machen.

7. Müssen Sie die Daten verschlüsseln?

Die Datenübertragung muss auf einem technisch einfachen Wege erfolgen. Schützen Sie die Daten vor Verlust, Zerstörung, Beschädigung und unbefugter Verarbeitung. Es bietet sich an, dass Sie die Daten durch Passwörter schützen.

8. Wie fordern Betroffene ihre Daten an?

Betroffene fordern die Datenübertragung ein, indem sie einen entsprechenden Antrag stellen. Dabei müssen sie ihre Identität nachweisen. Hegen Sie Zweifel an der Identität des Antragstellers, fordern Sie am besten zusätzliche Informationen ein.

9. Müssen Sie eine Ablehnung begründen?

Lehnen Sie einen Antrag ab, etwa weil die Datenübertragung die Rechte anderer Personen verletzt, müssen Sie die Ablehnung entsprechend begründen.

10. Wie wehren sich Betroffene gegen eine Ablehnung?

Betroffene Nutzer können sich bei der zuständigen Aufsichtsbehörde beschweren. Diese darf Bußgelder von bis zu 20 Millionen Euro verhängen. Alternativ ist ein Bußgeld von bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens möglich.

11. Müssen Sie jetzt neue technische Systeme einrichten?

Sie müssen nur diejenigen Maßnahmen ergreifen, die Ihnen technisch zumutbar sind. Sie sind nur dazu verpflichtet, dass Sie die vorhandene Infrastruktur nutzen oder auf gängige Office-Programme oder PDF-Dokumente zurückgreifen. Sie müssen nicht jede Form von Datenübertragung unterstützen. Es ist aber wichtig, dass Sie die Daten interoperabel zur Verfügung stellen.

 

eRecht24 Praxis Guide
Rechtssichere Webseiten:
Alles, was Sie wissen müssen
In unserem Guide erklären wir Ihnen in 12 Schritten, wie Sie eine Website rechtssicher erstellen - von der Wahl des Domainnamens über Impressum und Datenschutzerklärung bis hin zu E-Mail- und Newslettermarketing.
Guide jetzt kostenfrei herunterladen!

Name: Bitte Name angeben.

E-Mail-Adresse: Bitte korrekte E-Mail-Adresse angeben.

Ja, bitte senden Sie mir den kostenfreien Guide zu. Ich bin damit einverstanden, dass eRecht24 mir regelmäßig aktuelle Rechts-Updates, Praxistipps und Angebote aus den Bereichen Datenschutz und Internetrecht per E-Mail zusendet. Ich kann jederzeit form- und kostenlos widersprechen. Näheres entnehmen Sie unserer Datenschutzerklärung.
Vielen Dank!
Wir nehmen es mit dem Schutz Ihrer Daten genau und halten uns an die rechtlichen Vorgaben des Double-Opt-In. Bitte bestätigen Sie zuerst Ihre E-Mail-Adresse. Dann stellen wir Ihnen den Guide kostenfrei zur Verfügung.
Tipp: In unseren Premium-Paketen stehen Ihnen mehr als 10 praktische Guides mit Handlungsempfehlungen und passenden Generatoren und Tools zu verschiedenen Themen (Datenschutz, Urheberrecht, Marketing & Co.) kostenfrei zur Verfügung. Die Premium Praxis Guides werden sie regelmäßig aktualisiert, damit Sie stets auf dem neuesten Stand sind.
Rechtsanwalt Matthias Wurm
Caroline Schmidt
Caroline Schmidt, B.A.
Legal Writerin & SEO-Redakteurin

Caroline Schmidt hat Medienbildung studiert und ein einjähriges Volontariat in der Online-Redaktion eines Berliner Legal-Tech-Unternehmens absolviert. Sie ist seit über vier Jahren als Legal Writerin tätig und hat in verschiedenen Rechtsbereichen, darunter dem Arbeitsrecht, Schreiberfahrungen gesammelt. Seit 2022 ist sie als Legal Writerin und SEO-Redakteurin Teil des eRecht24-Redaktionsteams.

Lsdt
Hallo,vielen Dank für den tollen Beitrag. Lt. Gesetzestext ist allerdings ein Vertrag (Art. 6 Abs. 1 lit.b DSGVO) erforderlich, nicht das berechtigte Interesse. Sie haben die passende RGL zwar genannt, diese spricht aber nicht vom berechtigten Interesse. Das gibt es in der Nr. 2 Ihres Beitrags sowie nochmal bei den Fragen (Nr. 1).
16

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details