Das Recht auf Datenübertragung (Datenportabilität) DSGVO Art 5, 6, 13-15, 20, 82, 83
Recht personenbezogene Daten in struktureirter elektronischer Form zu erhalten - Recht auf Übermittlung personenbezogener Daten von einem Verantwortlichen an einen anderen - Neue Formvorschriften, Fristen und Entgeltleistungspflichten - Pflichten des neuen Verantwortlichen - Welche personenbezogenen Daten werden vom Betroffenen bereitgestellt? - Form der elektronischen Übermittlung ungeklärt - Sanktionen
Durch die Datenschutz-Grundverordnung (DSGVO) wurde das neue Betroffenenrecht 'Datenübertragbarkeit' eingeführt. Dieses Recht soll die Übertragung von personenbezogenen Daten, die Betroffene einem verantwortlichen Verarbeiter bereitgestellt haben, an einen neuen Verantwortlichen erleichtern. Zusätzlich soll ein Betroffener dadurch mehr Kontrolle über die eigenen Daten erhalten.
Das Recht personenbezogene Daten zu erhalten
Im Zuge eines Geschäftsprozesses übermittelt der Kunde (Betroffener) seine personenbezogenen Daten an den Verarbeiter/Unternehmer (Verantwortlicher). Der Verantwortliche ist gemäß Art 20 DSGVO verpflichtet, die bereit gestellten Daten auf Verlangen elektronisch an den Betroffenen zu übermitteln. Zusätzlich müssen Betroffene vorab über das Bestehen dieses Rechts gemäß Art 13 und 14 DSGVO in Kenntnis gesetzt werden.
Die Herausgabepflicht der Daten durch den Verantwortlichen ermöglicht zunächst die private Nutzung der Daten für den Betroffenen. Beispielsweise kann der Betroffene die Daten per E-Mail erhalten. Diese Möglichkeit bringt viele praktische Vorteile für den Betroffenen. So kann er beispielsweise alle Kontakte aus seinem Webmail-Dienst abrufen, um eine Neujahrs-Glückwunschliste zu erstellen. Weiters kann die betroffene Person ihre Film Play List bei einem Video-Streaming-Dienst abrufen, damit ein Doppelkauf auf einer anderen Online-Plattform verhindert wird.
Die Bestimmung sieht keine branchenspezifische oder inhaltliche Einschränkungen vor. Im Extremfall sind auch Onlineservices denkbar, bei denen sich ein Betroffener einmalig mit seinen wesentlichen Stammdaten registriert (Name, Anschrift, Geburtsdaten, Kontodaten, ...) und in Zukunft dieses Service beauftragt seine Daten an andere Verantwortliche zu übermitteln.
Beschränkt ist das Recht auf Datenübertragung ausschließlich dadurch, dass nur die vom Betroffenen bereit gestellten Daten übertragen werden müssen, NICHT jedoch die Daten, die der Verantwortliche selbst generiert, etwa Auswertungen, Verbrauchsdaten, Abrechnungsdaten, Vertragsdaten, ...
Beispiele zur Datenportabilität
Zu denken ist an eine Übertragung der Telefonkontaktdaten im Zuge eines Wechsels des Mobilfunk-Diensteanbieters. Der neue Verantwortliche kann alle Mobilnummern unter Einhaltung der Vorschriften des Art 6 DSGVO verarbeiten.
Eine ähnliche Situation liegt vor, wenn ein Bankkunde seine Hausbank wechselt. Im Zuge dessen beantragt er die Übertragung der personenbezogenen Daten gemäß Art 20 DSGVO. Dabei werden Datensätze über die Käufe und Transaktionen des Kontoinhabers übermittelt.
Andere Bereiche in denen die Datenübertragung von Bedeutung sein kann:
- Social Media (Übertragung von Postings, Bildern, Interessen, Profilen, ...)
- Cloud-Service (Übertragung alle hochgeladenen Daten, ...)
- Datingplattformen (Übertragung der eigenen Personenangaben und Partnerpräferenzen)
- Online-Shops (Übertragung von Bestelldaten, Produktpräferenzen, ...)
- Universität (Übertragung der inskribierten Lehrveranstaltungen, ...)
- Suchmaschinen (Übertragung der Suchanfragen, ...)
- Navigationsgeräte (Übertragung der gespeicherter Routen, ...)
Übermittlung an neue Verantwortliche
Gemäß Art 20 DSGVO haben Betroffene das Recht auf Übermittlung der personenbezogenen Daten vom bisherigen Verantwortlichen an einen neuen Veranwortlichen.
Der neue Verantwortliche hat die Vorschriften des Art 5 DSGVO einzuhalten. Somit sind nur für den Zweck der neuen Verarbeitung erforderliche Daten zu speichern. Der Zweckbindungsgrundsatz besagt, dass personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden müssen. Insofern muss der neue Geschäftspartner die Löschung der überschüssigen Daten veranlassen. Das Recht auf Datenübertragbarkeit erleichtert dem Betroffenen somit den beliebigen Wechsel zwischen Dienstanbietern.
Beispielsweise hat ein Betroffener seine Kündigung bei seinem alten Stromlieferanten veranlasst. Im Zuge dessen hat er eine neue Vereinbarung mit einem anderen Stromanbieter abgeschlossen. Mit dieser Kündigung hat der Betroffene zugleich die Datenübermittlung an den neuen Geschäftspartner beantragt. Durch die direkte Übermittlung der personenbezogenen Daten wie zum Beispiel Namen, Adresse, E-Mail, Geburtsdatum, Bankdaten, etc. soll der Betroffen Zeit sparen, indem er seine Daten nicht selbst übermitteln muss.
Beachtung der Rechte Dritter
Im Zuge der Datenübertragung an den neuen Veramtwortlichen können grundsätzlich auch personenbezogene Daten Dritter enthalten sein.
Sowohl der ursprüngliche Verantwortliche, als auch der neue Verantwortliche sind verpflichtet die Rechte Dritter zu beachten. Eine generelle Weigerung die Daten Dritter zu übertragen wird jedoch nicht zulässig sein.
Der ursprünglich Verantwortliche wird jedoch Nachweise beim Betroffenen verlangen können, dass diese Dritten (zB Angehörige, Freunde, ...) dieser Übertragung zugestimmt haben oder aus anderen Gründen die Übertragung zulässig ist.
Formvorschrift, Frist und Entgeltleistung
Das Anspruchsbegehren des Betroffenen auf Datenübertragung kann formlos erfolgen und der Veramtwortliche muss unverzüglich, in jedem Fall aber binnen eines Monats, den Antrag erledigen. In Ausnahmefällen und mit Begründung, beispielsweise bei komplexen Anträgen, hat der Verantwortliche zwei weitere Monate Zeit. Aus dem Recht auf Datenübertragbarkeit dürfen dem Betroffenen keine Kosten entstehen. Zahlungspflicht des Betroffenen entsteht nur bei offenkundig unbegründeten oder aufgrund ihrer Häufigkeit exzessiven Anträgen.
Grundsätzlich erfolgt die Herausgabe und Übertragung der Daten an den neuen Geschäftspartner gemäß Art 20 DSGVO im Rahmen einer Einwilligung des Betroffenen. Weiters kann auch die Datenübertragung mittels einer Vereinbarung zwischen dem Betroffenen und dem neuen Verarbeiter erfolgen. Für Datenübermittlungen mit personenbezogenen Daten Dritter muss ein weiterer Grund, wie zum Beispiel Art 6 DSGVO, für die Rechtmäßigkeit vorliegen.
Das Recht auf Datenübertragung kann nicht gegenüber Auftragsverarbeitern geltend gemacht werden.
Wann werden personenbezogenen Daten vom Betroffenen bereitgestellt?
In den Anwendungsbereich der Datenübertragbarkeit fallen primär personenbezogene Daten des Betroffenen. Der Anspruch erstreckt sich auch auf pseudonymisierte Daten, wenn die Identifizierung des Betroffenen möglich ist, nicht hingegen auf anonymisierte Daten oder Daten Dritter.
Neben Stammdaten fallen auch Daten, die der Betroffene im Zuge eines Dienstes bekannt gegeben hat darunter, zum Beispiel Suchanfragen oder Navi-Daten, Eingaben auf Fitness- oder Gesundheitsgeräten.
Auswertungen anhand von Betroffenen bereit gestellten Daten sind von Art 20 DSGVO ausgenommen. Typische Beispiele Bonitätsbewertungen oder diagnostische Ergebnisse.
Ungeklärt ist derzeit, ob auch Daten, die durch Aktivitäten des Betroffenen erzeugt werden, ebenfalls unter den Begriff "vom Betroffenen bereit gestellt" fallen. Dies wären Aufzeichnung bei medizinischen Gräten, bei Fitnessgeräten, bei Freizeittrackern oder jede sonstige Form von Geo-Location.
Form der elektronischen Übermittlung ungeklärt
Die personenbezogenen Daten müssen vom bisherigen Verantwortlichen so zur Verfügung gestellt werden, dass der Betroffene oder der neue Verantwortliche sie einfach übernehmen kann.
Die DSGVO sieht dazu jedoch keinerlei technische Vorgaben vor. Im Ergebnis werden es XML-Datenstrukturen sein. Es ist jedoch zu hoffen, dass diesbzeüglich rasch Rechtssicherheit geschaffen wird.
Geldstrafe und Schadenersatz
Ein Betroffener kann bei Rechtsverletzung eine Beschwerde bei der Datenschutzbehörde einreichen. Ein Verstoß gegen das Recht auf Datenübertragbarkeit kann gemäß Art 83 DSGVO mit bis zu EUR 20 Mio. oder bis zu 4% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres bedroht.
Weiters hat der Betroffene wegen Verstoß gegen die Bestimmung gemäß Art 21 DSGVO Recht auf Schadenersatz, sofern ein materieller oder immaterieller Schaden entstanden ist. Ein materieller Schaden entsteht, wenn der Verantwortliche keine personenbezogenen Daten im geeigneten Format bereitstellt, obwohl der Betroffene bereit war diese zu empfangen und er dadurch einen zusätzlichen Erhebnungsaufwand hat.
Ein imaterieller Anspruch kann wohl schon allein dadurch entstehen, als dem Betroffenen Grundrechte verwehrt werden. Zum gegenärtigen Zeitpunkt kann aber weder Spruchpraxis, noch höhe des zugesprochenen Schadenersatzes abgeschätzt werden.
Für Schadenersatzklagen gemäß Art 21 DSGVO sind die Zivilgerichte (nicht die Datenschutzbehörde) zuständig. Der Betroffene kann die Klage entweder beim Gericht, in dessen Sprengel er seinen gewöhnlichen Aufenthalt oder Sitz hat oder beim Landesgericht erheben, in dessen Sprengel der Verantwortliche seinen gewöhnlichen Aufenthalt, Sitz oder eine Niederlassung hat.
|