Aufsatz : Das Recht auf Datenübertragbarkeit : aus der RDV 2/2018, Seite 80 bis 85
Das Recht auf Datenübertragbarkeit ist ein datenschutzrechtliches Novum. Es wurde durch Art. 20 DS-GVO in Ergänzung zu den anderen Betroffenenrechten hinzugefügt. In diesem Aufsatz wird das neue Betroffenenrecht erläutert und dessen mögliche Auswirkungen auf die Wirtschaft behandelt. Insbesondere werden mögliche Einflüsse des neuen Betroffenenrechts auf Social Networks sowie Banken dargestellt und erste Umsetzungsmöglichkeiten vorgeschlagen. Eine Vernachlässigung oder fehlerhafte Umsetzung des neuen Betroffenenrechts kann für Unternehmen nach Art. 83 Abs. 5 lit. b DS-GVO mit Geldbußen von bis zu 20 Mio. Euro oder 4% des Gesamtumsatzes des vorangegangenen Geschäftsjahres quittiert werden.
I. Das Recht auf Datenübertragbarkeit
Das Recht auf Datenübertragbarkeit ist in Art. 20 DS-GVO geregelt. Neben zahlreichen, bereits bekannten Betroffenenrechten, soll dieses Recht der betroffenen Person ermöglichen, ihre, einem Verantwortlichen bereitgestellte, Daten, entweder selbst zu erhalten oder einem anderen Verantwortlichen übermitteln zu lassen. Die angeforderten Daten müssen der betroffenen Person gem. Art. 20 Abs. 1 DS-GVO in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung gestellt werden. Das Recht auf Datenübertragbarkeit findet Anwendung, wenn die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht. Die Ausübung des Rechts auf Datenübertragbarkeit lässt das Recht auf Löschung bzw. Vergessenwerden nach Art. 17 DSGVO unberührt. Außerdem gilt das Recht auf Datenübertragbarkeit nicht für eine für die Wahrnehmung einer Aufgabe im öffentlichen Interesse liegenden Verarbeitung oder für die Ausübung öffentlicher Gewalt des Verantwortlichen. Nach Art. 20 Abs. 4 DS-GVO darf das Recht auf Datenübertragbarkeit die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.[1]
II. Rahmenbedingungen
1. Anwendungsbereich
a) Art. 20 Abs. 1 lit. a DS-GVO: Einwilligung oder Vertrag
Art. 6 Abs. 1 lit. a DS-GVO ist der Erlaubnistatbestand der Einwilligung, Art. 9 Abs. 1 lit. a DS-GVO ist der Erlaubnistatbestand der Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten.
Außerdem kann die betroffene Person ihr Recht auf Datenübertragbarkeit ausüben, sofern die Verarbeitung auf einem Vertrag gem. Art 6 I lit. b DS-GVO beruht.[2]
b) Art. 20 Abs. 1 lit. b DS-GVO: Verarbeitung mithilfe automatisierter Verfahren Als zweite, kumulative Voraussetzung sieht Art. 20 Abs. 1 lit. b DS-GVO vor, dass die Verarbeitung mithilfe automatisierter Verfahren erfolgt. In Art. 4 Nr. 2 DS-GVO wird Verarbeitung als „mit oder ohne automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe (…)“ definiert, jedoch lässt sich in der DS-GVO keine Definition finden, was ein automatisiertes Verfahren an sich ist.[3] Somit ist jede Verarbeitung vom Recht auf Datenübertragbarkeit umfasst, die computergestützt ist oder durch eine sonstige Datenverarbeitungsanlage vorgenommen wird.[4] In der unternehmerischen Praxis wird das Kriterium der automatisierten Verarbeitung eine weniger große Bedeutung haben, zumal im heutigen digitalen Zeitalter nahezu jede Datenverarbeitung unter Einsatz von Datenverarbeitungsanlagen erfolgt.
2. Reichweite
a) Der Begriff der „Bereitstellung“
Weiter sieht Art. 20 Abs. 1 DS-GVO das Recht auf Datenübertragbarkeit nur für solche personenbezogenen Daten vor, die dem Verantwortlichen von der betroffenen Person „bereitgestellt“ wurden. Die DS-GVO enthält keine Definition der „Bereitstellung“. Lediglich in Art. 4 Nr. 2 wird „Bereitstellung“ als Überbegriff verschiedener Datenverarbeitungstatbestände bezeichnet. Grds. kann der Begriff der Bereitstellung so verstanden werden, dass damit bloß Daten gemeint sind, die von der betroffenen Person selbst stammen.[5] Die Art. 29- Datenschutzgruppe sieht dazu zwei Kategorien vor, nämlich „aktiv und wissentlich von der betroffenen Person bereitgestellte Daten“ sowie „nachverfolgte Daten“, die von der betroffenen Person durch Nutzung eines Dienstes oder Geräts bereitgestellt wurden.[6] „Aktiv und wissentlich bereitgestellte Daten“ sind demnach der betroffenen Person unmittelbar zuordenbar, wenn es sich um bspw. die Adresse, den Nutzernamen oder das Alter handelt. Nachverfolgte Daten sind bspw. die Suchhistorie, Standortdaten oder auch die Aufzeichnung der Herzfrequenz der betroffenen Person. Aus Rückschlüssen oder Analysen erzeugte Daten seien gerade nicht als bereitgestellte Daten anzusehen und somit von dem Recht auf Datenübertragbarkeit auszuschließen. Gleiches gelte für „abgeleitete Daten“, die vom Verantwortlichen erzeugt werden, z.B. algorithmische Ergebnisse. Dennoch sei das Kriterium der „Bereitstellung“ weit auszulegen; dies seien die einzigen Ausnahmen hiervon.[7] Eine gegenteilige Auffassung hierzu sieht eine engere Auslegung des Begriffs der nach der Bereitstellung erfassten Daten vor. Demnach seien nur die Stammdaten, die in dem mit dem Betroffenen geschlossenen Vertrag enthalten sind, die einzigen bereitgestellten Daten. Etwaige Daten, die bspw. durch Nutzung und Konsum erst generiert werden, seien hiervon auszunehmen, da dies gegen die wettbewerbsrechtlichen Interessen des Verantwortlichen verstoßen würde.[8] Allerdings kann dies nicht derart generalisiert werden. Gerade bei von Nutzern durch Nutzung, Konsum bzw. Einkaufsverhalten generierten Daten kommt es auf eine genaue Betrachtung an. Solche Daten können durchaus Personenbezug enthalten, da sie – entweder unabhängig voneinander oder in ihrer Gesamtheit – Rückschlüsse auf die betroffene Person ermöglichen können.
b) Ohne Behinderung durch den Verantwortlichen
Weiter hat nach Art. 20 Abs. 1 DS-GVO die betroffene Person das Recht, ihre Daten ohne Behinderung durch den Verantwortlichen, dem die Daten bereitgestellt wurden, einem anderen Verantwortlichen zu übermitteln. Der Begriff der Behinderung sollte weit zu verstehen sein und zielt in erster Linie auf technische Einschränkungen ab, welche die Datenübertragbarkeit umgehen und somit den Wettbewerb gefährden.[9]
c) Strukturierte, gängige, maschinenlesbare und interoperable Formate
Ein weiteres Kriterium zur Ermöglichung des Rechts auf Datenübertragbarkeit ist, dass die betroffene Person das Recht hat, die Daten in einem „strukturierten, gängigen und maschinenlesbaren Format“ i.S.d. Art. 20 Abs. 1 DS-GVO zu erhalten. ErwGr. 68 DS-GVO fügt ergänzend hinzu, dass das Format noch „interoperabel“ sein muss.
aa) Strukturiertheit
Die erste Voraussetzung an das Format ist die Strukturiertheit. Die Vorschrift zielt darauf ab, dass die Daten in einer bestimmten Struktur angeordnet werden, präzisiert die Rahmenbedingungen dieser Struktur jedoch nicht.[10] Auch geht aus der Vorschrift nicht hervor, ob Strukturiertheit bedeutet, dass die Information für die betroffene Person logisch oder verständlich sein muss.[11] Allerdings liegt es nahe den Begriff der Strukturiertheit so auszulegen, dass für die betroffene Person ihre personenbezogenen Daten zumindest kategorisch nach der Datenart oder in einer vergleichbaren Weise nachvollziehbar angeordnet werden, um der Gesamtheit der personenbezogen Daten zumindest eine Grundstruktur zu geben. Dies würde auch dem Grundsatz der DS-GVO entsprechen, dass eine faire und transparente Verarbeitung seitens des Verantwortlichen gewährleistet wird.
bb) Gängigkeit
Als zweites Erfordernis soll das Format „gängig“ sein. Bei dem Begriff der Gängigkeit kann allgemein auf die „Praktiken und Gegebenheiten des Marktes“ abgestellt werden[12], also diejenigen Formate, die marktüblich sind und in der jeweiligen Branche gegenwärtig von der Mehrheit der Marktteilnehmer verwendet werden. Dies bedeutet allerdings nicht, dass ein marktbeherrschender Marktteilnehmer die Standards für die Gängigkeit eines Formates setzen kann, sodass sich andere daran ausrichten müssen; [13]das Format sollte von einem beträchtlichen Teil der Marktteilnehmer verwendet werden. An das Kriterium der Gängigkeit gab es auf politischer Ebene bereits den Einwand, dass Verantwortliche in der Lage sein sollten, Daten in einem „speziellen und unüblichen Format in ein gängiges Format zu exportieren.“[14] Eine derartige Befürwortung der Konvertierung von speziellen und unüblichen Formaten in gängige Formate ist empfehlenswert. Zum einen trägt dies zur Transparenz der Verarbeitung bei. Zum anderen werden dadurch veraltete und möglicherweise auch fehlerhafte Dateiformate aus der Welt geschafft; dies ist ein bedeutsamer Schritt zur Ermöglichung einer reibungslosen Übertragung der Daten, die den Wettbewerb fördert.
cc) Maschinenlesbare Formate
Als letztes Erfordernis an das Format sieht Art. 20 Abs. 1 DSGVO vor, dass dieses maschinenlesbar sein muss. Es gibt eine große Anzahl an maschinenlesbaren Formaten, und die Maschinenlesbarkeit kann unterschiedlich definiert werden. Zunächst ist festzuhalten, dass elektronische Formate generell maschinenlesbare Formate darstellen. Eine Maschinenlesbarkeit kann bspw. auch dadurch gegeben sein, dass ein Datum auf ein Papier so gedruckt wird, dass es später von einer „Maschine“ lesbar ist. § 2 Nr. 5 IWG enthält im Definitionenkatalog eine Formulierung,[15] die die Art. 29-DatenschutzGruppe ebenfalls in dieser Form heranzieht. Diese orientiert sich nämlich an der Definition aus ErwGr. 21 der RL 2013/37/ EU. Darin heißt es u.a., dass ein Dokument als maschinenlesbar gilt, „wenn es in einem Dateiformat vorliegt, das so strukturiert ist, dass Softwareanwendungen die konkreten Daten einfach identifizieren, erkennen und extrahieren können.“[16]
dd) Interoperabilität
Die letzte Anforderung an das Format ist gem. ErwGr. 68 S. 1 DS-GVO die Interoperabilität. Interoperabilität beschreibt die Fähigkeit von Systemen, Einheiten oder Organisationen, auf unterschiedlichen Kommunikationsebenen miteinander kommunizieren zu können und untereinander Daten und Informationen austauschen zu können.[17] Es liegt nahe, Interoperabilität i.S.d. DS-GVO als Zusammenspiel der drei anderen Formatserfordernisse zu verstehen, sodass ein interoperables Format die Strukturiertheit, Gängigkeit und Maschinenlesbarkeit einschließt und im Ergebnis das gewünschte Format darstellt.[18]
d) Direktübermittlung und technische Machbarkeit
Gem. Art. 20 Abs. 2 DS-GVO kann die betroffene Person verlangen, dass ihre personenbezogenen Daten vom ersten Verantwortlichen zum zweiten Verantwortlichen direktübermittelt werden, sofern dies technisch machbar ist. Hierbei dient ErwGr. 68 S.7 DS-GVO als Orientierungshilfe, wonach es heißt, dass der Verantwortliche nicht verpflichtet ist, „technisch kompatible Datenverarbeitungssysteme zu übernehmen oder beizubehalten.“ Demnach wird auf die technischen Gegebenheiten des Verantwortlichen abzustellen sein.[19] Die technischen Gegebenheiten des Verantwortlichen lassen sich am besten durch die Interoperabilität der Daten zu anderen Anbietern bestimmen.[20] Fraglich ist, ob die die personenbezogenen Daten empfangende Partei bestimmte Mitwirkungspflichten hat, konkret die Pflicht zur Entgegennahme der Daten. In Art. 20 Abs. 2 DS-GVO ist von beiden Verantwortlichen die Rede, anders als in Abs. 1, in welchem lediglich der erste Verantwortliche in die Pflicht genommen wird. Insoweit kann hier eine Verpflichtung beider, an der Übermittlung beteiligter Parteien zur Kooperation gesehen werden, anders würde die Vorschrift nicht ihr Ziel erreichen können.[21]
e) Rechte und Freiheiten anderer Personen
Schließlich darf das Recht auf Datenübertragbarkeit gem. Art. 20 Abs. 4 DS-GVO die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.[22] Dies ist im Kontext zum avisierten Anwendungsbereich der Vorschrift ein sehr heikles Thema. Insbes. bei der Anwendbarkeit auf Kontaktdaten bei Social Networks ist ein Einschnitt in die Rechte und Freiheiten anderer Personen denkbar. Der Begriff der Rechte und Freiheiten anderer Personen beschränkt sich nicht nur auf ein spezifisches Recht, sondern ist weit auszulegen, zumal diverse andere Rechte und Freiheiten durch die Übertragung der Daten eingeschränkt werden können. Jedenfalls dürfen aus datenschutzrechtlicher Sicht nur personenbezogene Daten der betroffenen Person selbst übermittelt werden, zumal es in einem solchen Fall an einer Rechtsgrundlage zur Verarbeitung personenbezogener Daten anderer Personen mangeln würde.[23] Diese Tatsache wirft Fragen in Bezug auf die Realisierbarkeit der Datenübertragbarkeit auf. Insbes. stellt sich die Frage, wie Datensätze – auch im Hinblick auf die technische Machbarkeit – separiert werden können und wie etwaige Einwilligungsmechanismen eingeführt werden können, wenn bei Ausübung des Rechts auf Datenübertragbarkeit die Übertragung personenbezogener Daten Dritter unvermeidbar ist. In Betracht kommen hierbei bspw. Chat-Verläufe, E-Mail-Konversationen, Bilder und Videos.[24] So kann eine unvollständige Datenübertragung eine Benachteiligung der betroffenen Personen zur Folge haben, wenn bspw. Kundenbewertungen oder Rezensionen nicht übertragen werden können.[25]
Demgegenüber haben aber Unternehmen ein schutzwürdiges Interesse hinsichtlich ihrer Betriebs- und Datenbankgeheimnisse, welche nicht mitübertragen werden sollen.[26]
III. Anwendungsbeispiele in der unternehmerischen Praxis
Anhand von zwei Beispielen soll deutlich gemacht werden, welchen konkreten Nutzen das neue Betroffenenrecht hat und welche Auswirkungen es auf ein Unternehmen der jeweiligen Branche haben wird.
1. Social Networks
Bei Social Networks wird das Recht auf Datenübertragbarkeit besondere Relevanz haben aufgrund des dort vorhandenen, besonders interessanten Personenbezugs. Das Recht auf Datenübertragbarkeit muss hier ganz genau interpretiert und umgesetzt werden. Gleichzeitig wirft die Anwendbarkeit auf Social Networks berechtigte Fragen auf. Zwar nennt die Kommission „Freundeverzeichnisse“ als Gegenstand der Datenübertragung, doch berücksichtigt sie nicht die Notwendigkeit der Einwilligung der betroffenen „Freunde“ für die datenschutzrechtliche Zulässigkeit der Übertragung.[27] In all den Fällen, in denen Datenschutzrechte anderer Person tangiert werden, würde die Übertragung von Daten und Inhalten, die einen Personenbezug zu diesen anderen Personen aufweisen, von ihren Einwilligungen abhängen.[28] Daher stellt sich hier die Frage, wie eine Social Media Plattform wie Facebook das Recht auf Datenübertragbarkeit umsetzen könnte und seinen Nutzern den Zugang zu ihren Daten verschaffen bzw. den Anbieterwechsel ermöglichen könnte.[29] Social Networks sollten alle Daten des Nutzers, über die sie verfügen, auf einen unkomplizierten und transparenten, einfach zu stellenden Antrag, herausgeben. Dabei sollten personenbezogene Daten von anderen Daten getrennt dar gestellt und herausgegeben werden. Generell sollten Daten nach Datenart kategorisiert werden und dann zur Verfügung gestellt werden. Im Besonderen empfiehlt sich aber eine Trennung von Daten, die der Nutzer ohnehin selbst auf seinem Profil einsehen kann und „Hintergrunddaten“, die durch die Nutzung generiert wurden und die lediglich vom Social Network selbst einsehbar sind. Wenn die Daten zusammengestellt wurden, können sie auf einer Unterseite des Anbieters übersichtlich sortiert zum Download zur Verfügung gestellt werden. Diese Unterseite kann bspw. durch einen befristeten Link erreicht werden, der wiederum per E-Mail oder intern über die Anwendung an den jeweiligen Nutzer geschickt wird. Die Daten sollen den Formatvorgaben entsprechen. Nach Abruf des Links wird der Nutzer aufgefordert, sein Passwort einzugeben, anschließend kann er seine Daten auf der Unterseite einsehen. Des Weiteren müssen Social Networks die Rechte und Freiheiten anderer Personen wahren (Art. 20 Abs. 4 DS-GVO) und garantieren, dass entsprechende Einwilligungen aller anderen betroffenen Personen vorliegen, die zu einer solchen umfassenden Datenübertragung notwendig sind. Dies kann bspw. durch sog. Notifications, also Benachrichtigungen, erfolgen. Sobald ein Nutzer sein Recht auf Datenübertragbarkeit in Anspruch nehmen möchte, prüft der Anbieter, ob es Daten gibt, die Personenbezug zu anderen Personen aufweisen. Durch Algorithmen und automatisierte Suchvorgänge, wie bspw. die automatische Gesichtserkennung auf Fotos, ist dies möglich. Jeder Treffer des Suchvorgangs hat eine Benachrichtigung der jeweiligen anderen betroffenen Person zur Folge. Willigt diese ein, kann eine Übertragung für das fragliche Datum stattfinden. Verweigert sie die Einwilligung, ist dieses Datum von der Übertragung ausgeschlossen.[30] Auch für die Direktübermittlung der personenbezogenen Daten sollen die o.g. Prinzipien gelten. Jedes Social Network verfügt i. d. R. über Sachbearbeiter für Betroffenenrechte. Auf der „empfangenden Seite“ sollte es Zuständige geben, die sich speziell mit der Bearbeitung von Anfragen zum Recht auf Datenübertragbarkeit auseinandersetzen, da die Anfragen voraussichtlich großen Ausmaßes sein werden. Darüber hinaus muss das Recht auf Datenübertragbarkeit gem. Art. 13 DS-GVO in Ergänzung zu den anderen Betroffenenrechten in die Datenschutzerklärung des Social Networks aufgenommen werden. Die Nichtaufnahme ist abmahnfähig.
2. Banken und Auskunfteien
Das Recht auf Datenübertragbarkeit kann auch Auswirkungen auf die Tätigkeiten von Banken und Unternehmen im Finanzsektor haben, zumal dies auf europapolitischer Ebene bereits thematisiert worden ist.[31] Bei einem Bankvertrag wird zwischen den Basisdaten sowie den „die Art des Bankvertrages bestimmenden Daten“ unterschieden. Basisdaten sind bspw. der Name, die Anschrift oder die Telefonnummer des Vertragspartners. Zur Vertragsdurchführung können darüber hinaus auch weitere Daten, wie z.B. Zahlungseingänge, erhoben werden.[32] Den „Vertragsinhalt bestimmende Daten“ sind Daten, die über die Basisdaten hinausgehen und für die Art des zu schließenden bzw. geschlossenen Vertrages relevant sind. Bei einem Kontokorrentvertrag (Girokonto) werden bspw. neben Kontoauszügen auch kreditrelevante Daten erhoben.[33] Weiterhin kann die Bank je nach vertraglicher Beziehung zum Kunden für die Erfüllung bestimmter Aufgaben, wie bspw. der Vermögensverwaltung, über personenbezogene Daten des Kunden verfügen.[34] Bei einem Kreditvertrag erhebt und verarbeitet eine Bank zum einen vertraglich geforderte Daten wie z.B. Angaben zur Kreditlinie, Konditionen, Sicherheiten und Rückzahlungsmodalitäten. Zum anderen werden sog. Bonitätsdaten des Kunden verarbeitet, um seine Kreditfähigkeit festzustellen. Bei solchen Daten handelt es sich um Familienstand, Vermögen, Schulden und Einkommen, auch kreditrelevante Vorstrafen wie u.a. Scheckbetrug können durch die Bank bzw. das Kreditinstitut erhoben und verarbeitet werden.[35] Auskunfteien, welche Auskünfte über die Kreditfähigkeit von Personen geben und hierzu Wahrscheinlichkeitswerte hinsichtlich des zukünftiges Verhaltens ermitteln (sog. Scoring), verarbeiten ebenfalls personenbezogene Daten und müssen den Anforderungen des Art. 20 DS-GVO nachkommen. Die gesetzl. Rahmenbedingungen für die Durchführung des Scoring in Deutschland sind § 28b BDSG (alte Fassung) und § 10 Abs. 2 S. 6 KWG als lex specialis. Nach Maßgabe des § 10 Abs. 2 S. 6 KWG dürfen Auskunfteien alle Daten erheben und verarbeiten, die zur Ermittlung der wirtschaftlichen Verhältnisse des Betroffenen dienen. Die Vorschrift sieht keine Restriktion der Datenerhebung oder Datenarten vor; sie ist nicht abschließend.[36]
Es besteht für Auskunfteien die Gefahr, dass im Zuge der Portierung von personenbezogenen Daten Einzelheiten ihrer Scoreformel „mitübertragen“ werden, an denen sie ein berechtigtes Geheimhaltungsinteresse haben.[37] Die Scoreformel als solche ist kein personenbezogenes Datum, sondern bloß eine mathematische Rechenformel. Nach mancher Auffassung fehlt es sogar dem Scorewert an einem Personenbezug, wodurch eine Pflicht zur Portierung ausgeschlossen wäre.[38] Jedenfalls aber sollten Auskunfteien die Anforderungen des neuen Betroffenenrechts besonders gründlich analysieren und im Vorfeld ihre Betriebs- und Geschäftsgeheimnisse von personenbezogenen Daten trennen, damit diese nicht versehentlich portiert werden können. Auch für Banken würde eine bedingungslose Portierung aller vorhandenen personenbezogenen Daten gleichzeitig die Offenlegung ihrer „unternehmensinternen elektronischen Kundenakte“ bedeuten, die auf Basis ihrer wirtschaftlichen Interessen stets geschützt ist. Es handelt sich bei Banken nämlich nicht nur um rein personenbezogene Daten der Kunden, vielmehr liegt eine Verwicklung der Daten zu eigenen Betriebs- und Geschäftsgeheimnissen vor. Angesichts des Werts der Daten für die Banken ist die Vornahme eines Interessenausgleichs notwendig.[39] In diesem Kontext sind Betriebs- und Geschäftsgeheimnisse einer Bank insoweit als „Recht“ i.S.d. Vorschrift anzusehen, als sie als Teil der kommerziellen Interessen bzw. einer legitimen Gewinnerzielungsabsicht anzusehen sind. Solche Daten sind somit von einem Portierungsanspruch ausgenommen.[40]
IV. Fazit
Der europäische Gesetzgeber hat mit dem neuen Betroffenenrecht einen Meilenstein für das Datenschutzrecht gelegt. Das Recht auf Datenübertragbarkeit ist ein raffiniertes Instrument, um einerseits die Autonomie und informationelle Selbstbestimmung der betroffenen Person zu schützen und zu stärken. Andererseits wird das Datenschutzrecht als solches eingesetzt, um einen faireren und ausgewogeneren Wettbewerb zu erreichen. Daran wird deutlich, dass dem Datenschutzrecht im heutigen Status quo des digitalen Zeitalters eine besonders große Verantwortung zuteilwird.
Erdem Durmus (LL.B.) Jahrgang 1995; 2014–2017 Studium des Informationsrechts an der Hochschule Darmstadt; aktuell Studium des MasterStudiengangs Internationales Lizenzrecht an der Hochschule Darmstadt; wissenschaftlicher Mitarbeiter an der Hochschule Darmstadt.
[1] Das Recht auf Datenübertragbarkeit stand schon lange vor Veröffentlichung der DS-GVO im Fokus des europäischen Gesetzgebers, und die Erwartungshaltung diesem Recht gegenüber war beachtlich groß. Das europäische Parlament hat dieses Recht bereits 2011 in einer Entschließung thematisiert und betont, „wie wichtig es ist, (…) die Datenübertragbarkeit zu ermöglichen, (…) dass Nutzer ausreichende Kontrolle über ihre Online-Daten haben müssen, um verantwortlich vom Internet Gebrauch zu machen“, Entschließung des Europäischen Parlaments vom 06.07.2011 zum Gesamtkonzept für den Datenschutz in der Europäischen Union (2011/2015 (INI)). Durch das Recht auf Datenübertragbarkeit soll der betroffenen Person eine bessere Kontrolle über ihre personenbezogenen Daten ermöglicht werden. Mit der Möglichkeit der Herausgabe der Daten kann eine Verwandtschaft des Art. 20 DS-GVO zum bereits bekannten Auskunftsrecht, das in Art. 15 DS-GVO geregelt ist, erkannt werden, Kamlah, in: Plath, BDSG/DS-GVO Kommentar, Art. 20, Rn. 1 f. Eine Verstärkung des Datenschutzes der betroffenen Person ist aber nur ein Aspekt des erwarteten Effekts dieses neuen Betroffenenrechts. Das Recht auf Datenübertragbarkeit soll zugleich den Wettbewerb innerhalb der Verantwortlichen fördern, Piltz, in: Gola, DS-GVO Kommentar, Art. 20, Rn. 3. Aus einer Studie des europäischen Parlaments geht hervor, dass Wettbewerbsprobleme durch Änderung der Datenschutzvorschriften abgeschwächt werden könnten. In der Studie heißt es: „Die Einführung der Datenübertragbarkeit als Recht zur Übertragung eigener Daten von einer Plattform auf eine andere Plattform (…) dürfte sich positiv auf die Interoperabilität zwischen den Plattformen auswirken sowie (…) einen intensiveren Wettbewerb bewirken.“, Europäisches Parlament, Studie, 2016, S. 12. (IP/A/ECON/2014-12 Juli 2016 542.235). Einer weiteren Studie bzgl. Cloud Computing zufolge haben „dominante Provider“ ein Interesse daran, für neue Wettbewerber Markteintrittsschranken aufzustellen und Kunden möglichst an sich zu binden. Es sei demnach nicht in ihrem Interesse, interoperable Standards zu entwickeln, sondern im Gegenteil, ihren Marktanteil auszubauen. Dieses Phänomen sei anhand des Rechts auf Datenübertragbarkeit und der gleichzeitigen Forderung nach interoperablen Standards angreifbar, Europäisches Parlament, Studie, 2012, S. 84 f. (IP/A/IMCO/ST/2011-18 May 2012 475.104). Im Zusammenhang mit der Kundenbindung wird vom sogenannten Lock-In- bzw. Netzwerk-Effekt gesprochen. Nutzer seien aufgrund der starken Sogwirkung in den Diensten eines populären bspw. Social Networks eingeschlossen (vgl. von Lewinski, BeckOK DSR Kommentar, Art. 20, Rn. 11.) und könnten nicht wechseln, weil es keinen einfachen Prozess hierzu gäbe bzw. das jeweilige Nutzerprofil mühevoll ausgebaut worden sei, sodass ein Wechsel einen Neuanfang bedeuten würde, Datenschutzgrundverordnung: Stellungnahme von digitalcourage für den ITRE- Ausschuss, S. 6.
[2] ErwGr. 68 S. 4 DS-GVO stellt ausdrücklich klar, dass das Recht auf Datenübertragbarkeit nicht gelten soll, „wenn die Verarbeitung auf einer anderen Rechtsgrundlage als ihrer Einwilligung oder eines Vertrags erfolgt“. Die drei genannten Erlaubnistatbestände, auf denen die Verarbeitung beruht, sind demnach abschließend, Wybitul, EU-DS-GVO im Unternehmen, Rn. 182. Hinsichtlich der Verarbeitung auf Grundlage eines Vertrages ist fraglich, ob bei einem vorvertraglichen Verhältnis zur betroffenen Person ebenfalls ein Recht auf Datenübertragbarkeit besteht, zumal dies in Art. 6 Abs. 1 lit. b DS-GVO explizit genannt wird, vgl. Laue/Nink/ Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, §4, Rn. 62. Jedoch sollte – aus unternehmerischer Sicht – hierbei auf den genauen Wortlaut des Art. 20 DS-GVO abgestellt werden, welcher vorvertragliche Maßnahmen eben nicht als Erlaubnistatbestand der Verarbeitung vorgesehen hat, Kamann/Braun, in: Ehmann/Selmayr, DS-GVO Kommentar, Art. 20 Rn. 18. Für Unternehmen würde die Ermöglichung des Rechts auf Datenübertragbarkeit, wenn es auch noch bei vorvertraglichen Maßnahmen gelten würde, deutlich größeren Aufwand und höhere Kosten verursachen.
[3] Zur Bestimmung des Begriffs kann die Definition aus § 3 Nr. 2 BDSG herangezogen werden, die auf RL 95/46/EG fußt. Demnach ist eine automatisierte Verarbeitung „die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen.“, Jülicher/Röttgen/v. Schönfeld, ZD 2016, 359.
[4] Im Umkehrschluss sind vom Recht auf Datenübertragbarkeit ausgenommen nichtautomatisierte Verfahren, also bspw. Daten, die in manuell verarbeiteten Karteikarten oder Akten gespeichert sind, Herbst, in: Kühling/ Buchner, DS-GVO Kommentar, Art. 20, Rn. 13. Hierbei wird auf die fehlende Maschinenlesbarkeit abgestellt und auf die Tatsache, dass die Konvertierung einer manuell getätigten Datenverarbeitung in eine maschinenlesbare Form einen unverhältnismäßigen Aufwand erfordern würde. Generell ist davon auszugehen, dass Daten, die den Formaterfordernissen strukturiert, gängig, maschinenlesbar und interoperabel entsprechen, auch automatisiert verarbeitet werden können, Fladung, in: Wybitul, Handbuch EU-DS-GVO, Art. 20, Rn. 7.
[5] Schneider, Datenschutz nach der EU-DS-GVO, S. 175
[6] Art. 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, 16/EN WP 242, S. 9 f.
[7] Art. 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, 16/EN WP 242, S. 9 f.
[8] Kamlah, in: Plath, BDSG/DS-GVO Kommentar, Art. 20, Rn.6.
[9] Kamlah, in: Plath, BDSG/DS-GVO Kommentar, Art. 20, Rn. 9. Denkbar sind neben technischen Restriktionen etwa auch rechtliche Behinderungen, die sich bspw. aus einer unzulässigen Verpflichtung der betroffenen Person zur vertraglichen Bindung ergeben.
[10] Kamann/Braun, in: Ehmann/Selmayr, DS-GVO Kommentar, Art. 20 Rn. 23.
[11] Piltz, in: Gola, DS-GVO Kommentar, Art. 20, Rn. 21.
[12] Piltz, K&R 2016, 629, 634.
[13] Von Lewinski, BeckOK DSR Kommentar, Art. 20, Rn. 76.
[14] Europäisches Parlament, Entwurf eines Berichts, PR/922387DE, S. 33. Zwar sind die Verantwortlichen nach ErwGr. 68 S. 7 DS-GVO nicht verpflichtet, interoperable Standards zu entwickeln, allerdings wird dies von der Art. 29-Datenschutzgruppe ausdrücklich empfohlen, Art. 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, 16/EN WP 242, S. 16.
[15] Herbst, in: Kühling/Buchner, DS-GVO Kommentar, Art. 20, Rn. 20
[16] Textdateien „.txt/.odt“, für Tabellendateien „.csv“, für XML- Dateien „.xml/.rss“ und für Bilddateien „.png/.jpg/.gif“, Anlage des Handlungsleitfadens zur Umsetzung des SächsEGovG für staatliche Behörden: http://www.opendata.sachsen.de/HLF/8_Maschinenlesbare_Dateiformate.pdf. Darüber hinaus kommt das .rtf-Format, ebenfalls für Textdateien, sowie das Excel-Format für Tabellendateien in Betracht, Piltz, in: Gola, DS-GVO-Kommentar, Art. 20, Rn. 21. Auch ein Personalausweis hat neben einer Sichtzone (engl. VIZ) eine maschinenlesbare Zone (engl. MRZ) und kann somit insgesamt als maschinenlesbares Dokument gelten, von Lewinski, BeckOK DSR Kommentar, Art. 20, Rn. 75.1.
[17] Das Fraunhofer Institut IOSB definiert den Begriff der Interoperabilität wie folgt: „Interoperabilität bezeichnet die Fähigkeit von Systemen, Einheiten oder Organisationen, Dienste zur Verfügung zu stellen und Dienste anderer Systeme, Einheiten oder Organisationen zu nutzen.“ (Fraunhofer IOSB visIT Essay Interoperabilität, 2013, S. 4 f.) Auch auf europ. Ebene wurde die Bedeutung der Interoperabilität, insbes. für Cloud Computing und Social Networks, betont. In einem Bericht heißt es, dass durch die Förderung und Standardisierung der Interoperabilität die Nutzer in die Lage versetzt werden sollen, „das gesamte Potential eines lebendigen und wettbewerbsfähigen europ. Marktes auszuschöpfen.“ Außerdem soll dadurch der Missbrauch von Marktmacht in Zusammenhang zur Festlegung von De-facto Standards im Bereich der Datenübertragbarkeit und Verschlüsselung verhindert werden, STOA, PE 513.546, 2014, S. 4 (Option 14).
[18] Schneider, Datenschutz nach der EU-DS-GVO, S. 176.
[19] Herbst, in: Kühling/Buchner, DS-GVO Kommentar, Art. 20, Rn. 27
[20] In diesem Kontext kann der Begriff der technischen Machbarkeit etwa auch interpretiert werden als „sofern interoperabel“; denn in diesem Kriterium wurzelt letzten Endes der Umstand, ob eine Direktübermittlung technisch machbar ist oder nicht, vgl. Schneider, Datenschutz nach der EU-DS-GVO, S. 176.
[21] Piltz, in: Gola, DS-GVO Kommentar, Art. 20, Rn. 27. Aus dem Wortlaut des Art. 20 Abs. 2 DS-GVO geht nicht hervor, ggü. welchem Verantwortlichen die betroffene Person das Recht auf Direktübermittlung „erwirken“ kann. Logisch betrachtet sind regelmäßig zwei Parteien an einer Übermittlung beteiligt, zumal eine Partei die Daten „senden“, die andere Partei die Daten „empfangen“ muss. Die Pflicht des zweiten Verantwortlichen zur „Entgegennahme“ der Daten findet seine Schranken allerdings wiederum in der „technischen Machbarkeit“. Die allg. Formulierung in ErwGr. 68 DS-GVO, dass der Verantwortliche nicht verpflichtet ist, „technisch kompatible Datenverarbeitungssysteme zu übernehmen oder beizubehalten“, macht dies deutlich. Diese Formulierung statuiert, dass der zweite Verantwortliche keine Anpassungspflicht an Formate oder Systeme des ersten Verantwortlichen hat. Wenn er also in technischer Hinsicht die Daten nicht entgegennehmen bzw. in seine Systeme einführen oder generell verarbeiten kann, dann scheitert die Direktübermittlung an diesem Punkt, vgl. Fladung, in: Wybitul, Handbuch EU-DS-GVO, Art. 20, Rn. 9.
[22] Art. 20 Abs. 4 DS-GVO nimmt allerdings nur Bezug auf die Datenübertragbarkeit gem. Abs. 2 und erwähnt die nach Abs. 1 nicht. In der engl. Fassung wird auf Abs. 1 Bezug genommen. Es ist logisch, dass beide Arten der Ausübung des Rechts sowohl nach Abs. 1 als auch nach Abs. 2 die Rechte und Freiheiten anderer Personen nicht beeinträchtigen dürfen. Demzufolge handelt es sich bei der deutschen Fassung wohl um ein Redaktionsversehen, Piltz, in: Gola, DS-GVO Kommentar, Art. 20, Rn. 33 ff.
[23] S. ErwGr. 68 S. 8 DS-GVO. Personenbezogene Daten Dritter sind v.a. dann gefährdet, wenn bei dem Verantwortlichen eine gemeinsame Speicherung der Daten, etwa auf einer bestimmten Datenbank, erfolgt, sodass diese von den Daten der betroffenen Person untrennbar sind, Fladung, in: Wybitul, Handbuch EU-DS-GVO, Art. 20, Rn. 10.
[24] Schantz, NJW 2016, 1845.
[25] Paal/Martini, in: Paal/Pauly, DS-GVO, Art. 20, Rn. 27.
[26] Aus der Möglichkeit der in Art. 6 lit. f DS-GVO vorgesehenen Interessenabwägung lässt sich ableiten, dass der Terminus „Rechte und Freiheiten Dritter“ nicht nur jene anderer betroffener Personen meint, sondern auch Rechte und Freiheiten von Verantwortlichen.
[27] Der Kommissionsvorschlag nannte in ErwGr. 55 S. 2 anfangs konkret Social Networks als Anwendungsbeispiel, vgl. Gierschmann, ZD 2016, 54. Bereits im Jahre 2010 betonte die Europäische Kommission im Rahmen des Projekts „Gesamtkonzept für den Datenschutz in der EU“, dass hinsichtlich der Betroffenenrechte „v.a. die sozialen OnlineNetzwerke anzuführen“ seien, „da die Frage der Kontrolle des Einzelnen über seine personenbezogenen Daten hier besonders problematisch ist.“ Die Kommission führte beispielhaft für nach dem Recht auf Datenübertragbarkeit übertragbare Daten „Fotos oder Freundeverzeichnisse“ an, KOM 2010 (609) endgültig, S. 8. Neben den datenschutzrechtlichen Erwägungen des neuen Betroffenenrechts war außerdem wie o.g. die Schaffung einer fairen Wettbewerbssituation beabsichtigt. Die überragende Marktmacht von bestimmten Social Networks, wie bspw. Facebook, macht es neuen Anbietern nahezu unmöglich, sich auf diesem Gebiet zu behaupten. Außerdem ist aufgrund der Vernetzung und der Reichweite der Nutzer auf beliebten Social Networks wie Facebook aus Nutzersicht ein Wechsel oft nicht nötig; er wäre aufgrund der geringen Mitgliederzahl außerdem unattraktiv. Darüber hinaus fehlen Neuanbietern oft die finanziellen Möglichkeiten, um sich auf dem Markt durchsetzen zu können, weswegen sie bereits in der Anfangsphase scheitern, Schwartmann/ Ohr, Recht der Sozialen Medien, Rn. 289. Die Fluktuation von personenbezogenen Daten würde diesem Phänomen entgegenwirken, zumal dies einen Wechsel aus Nutzersicht erheblich vereinfachen würde. Nutzergruppen wie bspw. Freunde, Bekannte und Verwandte könnten sich auf einen gemeinsamen Wechsel zu einem anderen Anbieter einigen und von ihrem Recht auf Datenübertragbarkeit Gebrauch machen, vgl. Kühnl, Persönlichkeitsschutz 2.0, S. 208.
[28] Franzen, EuZA 2017, 335.
[29] Obwohl es früher noch keine gesetzl. Verpflichtung zur Herausgabe (personenbezogener) Daten gab, hat Facebook versucht, seinen Nutzern den Zugang zu Profildaten zu ermöglichen. Nutzer konnten hierfür ein auf der Seite „verstecktes Formular“ mit ihren persönlichen Angaben ausfüllen und abschicken. Aufgrund der hohen Nachfrage stellte Facebook diese Möglichkeit allerdings Ende 2011 wieder ab. Die Nutzer müssen nun entweder per Email oder postalisch an die irische Adresse einen Antrag auf Herausgabe der Daten stellen. Jedoch beantwortete Facebook Nutzeranfragen häufig erst gar nicht oder schickte nur einen Teil der gespeicherten personenbezogenen Daten. Erst nach mehrmaliger Drohung bei der irischen Datenschutzbehörde sei Facebook aktiv geworden und habe einen Datensatz an die betroffene Person geschickt, Verheijden, Rechtsverletzungen auf YouTube und Facebook, S. 113 f. Dieser Datensatz umfasste mehr als 1.000 Seiten und war mehrere hundert MB groß, Europe versus Facebook, Facebooks Datenbestand, http://europe-v-facebook.org/DE/Datenbestand/datenbestand.html. Außerdem gibt es die Möglichkeit, über die Facebook-Seite die Daten über einen Link herunterzuladen, sofern man eingeloggt ist. Allerdings erfährt man dadurch nicht, welche Daten Facebook noch gespeichert hat, außer jene, die im Profil ohnehin ersichtlich sind, https://www.facebook.com/help/contact/180237885820953.
[30] Vgl. Hawellek, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Kap. 2, Ziffer III, Rn. 154
[31] Die Anwendbarkeit der Datenübertragbarkeit auf die Finanzwelt wird aus dem Inhalt eines EU- Themenpapiers des Jahres 2012 deutlich. Dort heißt es, dass die Reform des Datenschutzrechts „Potenziale für große Synergien mit möglichen künftigen Reformen des Zahlungssystems“ birgt, die Vorschriften seien insbes. „für Anbieter von Finanzund Zahlungsdienstleistungen von großer Bedeutung“ und würden „Auswirkungen auf ihr Geschäftsmodell haben.“, Europäisches Parlament, Studie, 2012, S. 27. IP/A/IMCO/NT/2012-13 August 2012 492.434
[32] Hoffmann, BuB, Rn. 17/93
[33] Hoffmann, BuB, Rn. 17/94.
[34] Deutsch, in: Vahldiek, Datenschutz in der Bankpraxis, § 3, Rn. 15.
[35] Hoffmann, BuB, Rn. 17/94.
[36] Helfrich, in: Hoeren/Sieber/Holznagel, Multimedia-Recht, Teil 16.4, Rn. 54 f.
[37] Dix, in: Simitis, BDSG § 34, Rn. 33.
[38] Helfrich, in: Hoeren/Sieber/Holznagel, Multimedia-Recht, Teil 16.4, Rn. 16.
[39] Vgl. Die Deutsche Kreditwirtschaft, Stellungnahme zum Vorschlag einer EU- DS-GVO, S. 5. Https://bankenverband.de/media/files/DKStN_18052012.pdf. Ein solcher Interessenausgleich ergibt sich bereits aus der Vorschrift, Art. 20 DS-GVO, selbst. In Abs. 4 heißt es, dass die Inanspruchnahme des Rechts die Rechte und Freiheiten anderer Personen nicht beeinträchtigen darf.
[40] Des Weiteren kann sich eine Bank an dem Kriterium der „Bereitstellung“ nach Art. 20 Abs. 1 DS-GVO und der Meinung der Art. 29-Datenschutzgruppe zu diesem Begriff orientieren. Weder aus Rückschlüssen noch aus Analysen erzeugte Daten sind nach Auffassung der Art. 29-Datenschutzgruppe „bereitgestellte Daten“, ebenso wenig wie „abgeleitete Daten“, die vom Unternehmen selbst generiert werden, Art. 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, 16/EN WP 242, S. 9 f.