DA+

Kurzbeitrag : Datenportabilität – das neue Recht des Betroffenen : aus der RDV 4/2017, Seite 189 bis 191

Kristin Benedikt, Ansbach*

Lesezeit 5 Min.

Die DS-GVO enthält eine Reihe neuer Instrumente und erweitert den Katalog an Betroffenenrechten. Darunter fällt auch das Recht auf Datenübertragbarkeit. Die Umsetzung dieses Novums stellt die Verantwortlichen vor eine große Herausforderung. Anders als bei dem Recht auf Löschung oder Berichtigung kommt es vor allem auf die technische Ausgestaltung an.

Der Betroffene kann gem. Art. 20 DS-GVO vom Verantwortlichen verlangen, dass ihm seine Daten bereitgestellt (Abs. 1) oder direkt an einen anderen Verantwortlichen übermitteln werden (Abs. 2). Zweck dieser Vorschrift ist es, die Bindung an einen bestimmten Anbieter (sog. „Lock-In-Effekt“) zu verhindern, indem ein Anbieterwechsel erleichtert wird.[1] Es handelt sich daher in erster Linie um eine verbraucher- bzw. wettbewerbsrechtliche Vorschrift.[2] Dennoch entfaltet die Vorschrift auch datenschutzrechtliche Verpflichtungen gegenüber den Verantwortlichen, die insbesondere Fragen der Datensicherheit und der Datenschutz-Organisation betreffen.

I. Voraussetzungen

Im Gesetzgebungsverfahren wurde das Recht auf Datenübertragbarkeit zunächst nur im Hinblick auf soziale Netzwerke thematisiert.[3] In der Praxis kommt die Datenportabilität jedoch bei einer Vielzahl von Datenverarbeitungen wie z.B. beim Kontowechsel oder beim Kauf eines Wearables in Betracht. Umso wichtiger ist es, dass sich die Verantwortlichen mit den Voraussetzungen und Folgen für die Praxis vertraut machen.

1. Grundlage der Datenverarbeitung

Das Recht auf Datenübertragbarkeit besteht nur, wenn die Daten aufgrund einer Einwilligung oder eines Vertrages verarbeitet werden. Dies schränkt die Menge an übertragbaren Daten erheblich ein. Das Verzeichnis über Verarbeitungstätigkeiten gem. Art. 30 DS-GVO kann dabei helfen, die Datenmenge einzugrenzen.

Die weitere Voraussetzung, dass die Daten mithilfe automatisierter Verfahren verarbeitet werden, hat bei der Vielzahl an Anwendungsfällen im digitalen Zeitalter keine eigenständige Bedeutung

2. Vom Betroffenen bereitgestellt

Gegenstand des Art. 20 DS-GVO sind nur solche Daten, die vom Betroffenen bereitgestellt worden sind. Bereitgestellt sind die Daten, wenn der Betroffene sie bewusst offenlegt, indem er sie dem Verantwortlichen übermittelt oder durch sonstige Weise aktiv und willentlich verbreitet hat.[4] Dies ist z.B der Fall, wenn der Betroffene sein Profil bei einem Dating-Portal erstellt oder beim Bestellvorgang seine Anschrift eingibt.

Darunter fallen auch solche Daten, die vom Betroffenen durch die Inanspruchnahme und Nutzung eines Dienstes erzeugt werden. Das betrifft Daten, die nach derzeitigen Verständnis unter § 15 Abs. 1 TMG gefasst werden können, wie z.B. Fitness- und Gesundheitsdaten bei Wearables, Playlists bei Streaming-Plattformen oder Bewegungsprofile.

Im Gegensatz dazu sind Daten, die erst durch die Verarbeitung erzeugt werden und auf Rückschlüssen des Verantwortlichen beruhen, nicht von Art. 20 DS-GVO erfasst. Das gilt u.a. für das Scoring oder das Profiling, soweit dem Betroffenen Merkmale und Interessen zugeordnet werden.

3. Daten Dritter

Art. 20 DS-GVO setzt weiterhin voraus, dass die zu übertragenden Daten den Antragsteller selbst betreffen. In der Praxis kommt es häufig vor, dass sich die Daten auch auf andere Personen beziehen z.B. Gruppenfotos oder Chat-Verläufe. In diesen Fällen ist der Anspruch auf Datenübertragbarkeit nicht vorschnell abzulehnen, da anderenfalls das Betroffenenrecht ins Leere liefe.[5]

Der Anspruch auf Datenübertragung ist nur dann ausgeschlossen, wenn dadurch die Rechte und Freiheiten anderer Personen beeinträchtigt werden, Art. 20 Abs. 4 DS-GVO. Eine solche Beeinträchtigung kommt sowohl bei den Grundrechten gem. Art. 7 und 8 GRCh, als auch beim Recht am geistigen Eigentum oder bei Geschäftsgeheimnissen in Betracht, vgl. ErwG 63.

II. Praktische Umsetzung und technische Ausgestaltung

Nach Art. 20 Abs. 1 DS-GVO müssen die Daten in einem „strukturierten, gängigen und maschinenlesbaren Format“ bereitgestellt werden. Zudem werden die Verantwortlichen in ErwG 68 aufgefordert, „interoperable“ Formate zu entwickeln. Verantwortliche müssen aber nicht erst abwarten, bis es Standards für die Datenübertragung gibt, um ihrer Pflicht gem. Art. 20 DS-GVO nachzukommen. Häufig verwendete Formate wie XML, CSV oder HTML erfüllen diese Voraussetzungen.[6]

Die Verantwortlichen sollten unter dem Gesichtspunkt „Privacy by Design“ die Möglichkeit zur Datenübertragung frühestmöglich im Prozess einbinden. Das bedeutet, dass mit der Umsetzung nicht erst begonnen werden darf, wenn erstmals die Datenübertragung gefordert wird. Eine nachträgliche Umsetzung verursacht nicht nur höhere Kosten, sondern kann auch dazu führen, dass dem Antrag nicht fristgerecht entsprochen werden kann. Dies kann einen Verstoß gegen die bußgeldbewährten Vorschriften Art. 12 und Art. 25 DS-GVO zur Folge haben.

Neben den Voraussetzungen des Art. 20 DS-GVO müssen auch die allgemeinen Vorschiften der Betroffenenrechte beachtet werden. So hat der Verantwortliche die Daten unentgeltlich und unverzüglich, spätestens jedoch innerhalb eines Monats bereitzustellen, vgl. Art. 12 Abs. 3 Satz 1 und Abs. 5 Satz 1 DS-GVO.

Außerdem ist der Verantwortliche angehalten, bei Zweifeln die Identität des Antragstellers zu überprüfen, Art. 12 Abs. 6 DS-GVO. Da Art. 20 DS-GVO überwiegend im Onlinebereich zur Anwendung kommt und der Verantwortliche dadurch schnell über die Identität des Antragstellers getäuscht werden kann, sollte in jedem Fall eine Identitätsfeststellung erfolgen. Erfolgt dies nicht, erhöht sich das Risiko für einen Identitätsdiebstahl. In der Praxis empfiehlt es sich daher, dem Betroffenen die Daten im Online-Konto nach dem Log-In mit Benutzername und Passwort bereitzustellen.

Ein vergleichbares Risiko besteht auch bei direkter Übertragung an einen anderen Verantwortlichen, Art. 20 Abs. 2. DS-GVO. Hier muss sichergestellt werden, dass die Daten nicht nur an den „richtigen“ Empfänger gelangen, sondern zumindest auch über den Transportweg verschlüsselt sind.

III. Verhältnis zu weiteren Betroffenenrechten

Das Recht auf Datenübertragung ersetzt oder schließt andere Betroffenenrechte nicht aus. Aus Art. 20 Abs. 3 S. 1 DS-GVO geht ausdrücklich hervor, dass das Recht auf Löschung unberührt bleibt. Das Recht auf Datenübertragbarkeit ist auch nicht mit dem Recht auf Auskunft identisch. Das Auskunftsrecht soll den Betroffenen darüber informieren, welche Daten von wem verarbeitet werden. Erst dadurch wird er in die Lage versetzt, weitere Rechte auszuüben. Art. 20 DS-GVO gewährleistet durch kontrollierte Weitergabe des Betroffenen, dass die Verbreitung durch einen weiteren Verantwortlichen fortgesetzt wird.[7]

* Die Autorin ist Referatsleiterin für den Bereich Telemedien und Geodatendienste beim Bayerischen Landesamt für Datenschutzaufsicht. Der Beitrag gibt die persönliche Auffassung der Autorin wieder.

[1] Herbst, in: Kühling/Buchner, DS-GVO, Art. 20 Rn. 1

[2] Kamann/Braun in: Ehmann/Selmayr, DS-GVO, Art. 20 Rn. 3.

[3] Europäische Kommission (COM(2012) 11 final).

[4] Piltz, K&K 2016, 629, 634.

[5] Artikel 29-Arbeitsgruppe WP 242, S. 9.

[6] Franck, RDV 2016, 111, 117.

[7] Kamann/Braun, in: Ehmann/Selmayr, DS-GVO, Art. 20 Rn. 8.