Datenschutzbehörde  Datenschutz Europa privacy service
 
Das Recht auf Datenübertragung (Datenportabilität)
DSGVO Art 5, 6, 13-15, 20, 82, 83
Recht personenbezogene Daten in struktureirter elektronischer Form zu erhalten - Recht auf Übermittlung personenbezogener Daten von einem Verantwortlichen an einen anderen - Neue Formvorschriften, Fristen und Entgeltleistungspflichten - Pflichten des neuen Verantwortlichen - Welche personenbezogenen Daten werden vom Betroffenen bereitgestellt? - Form der elektronischen Übermittlung ungeklärt - Sanktionen

Durch die Datenschutz-Grundverordnung (DSGVO) wurde das neue Betroffenenrecht 'Datenübertragbarkeit' eingeführt. Dieses Recht soll die Übertragung von personenbezogenen Daten, die Betroffene einem verantwortlichen Verarbeiter bereitgestellt haben, an einen neuen Verantwortlichen erleichtern. Zusätzlich soll ein Betroffener dadurch mehr Kontrolle über die eigenen Daten erhalten.


Das Recht personenbezogene Daten zu erhalten

Im Zuge eines Geschäftsprozesses übermittelt der Kunde (Betroffener) seine personenbezogenen Daten an den Verarbeiter/Unternehmer (Verantwortlicher). Der Verantwortliche ist gemäß Art 20 DSGVO verpflichtet, die bereit gestellten Daten auf Verlangen elektronisch an den Betroffenen zu übermitteln. Zusätzlich müssen Betroffene vorab über das Bestehen dieses Rechts gemäß Art 13 und 14 DSGVO in Kenntnis gesetzt werden.

Die Herausgabepflicht der Daten durch den Verantwortlichen ermöglicht zunächst die private Nutzung der Daten für den Betroffenen. Beispielsweise kann der Betroffene die Daten per E-Mail erhalten. Diese Möglichkeit bringt viele praktische Vorteile für den Betroffenen. So kann er beispielsweise alle Kontakte aus seinem Webmail-Dienst abrufen, um eine Neujahrs-Glückwunschliste zu erstellen. Weiters kann die betroffene Person ihre Film Play List bei einem Video-Streaming-Dienst abrufen, damit ein Doppelkauf auf einer anderen Online-Plattform verhindert wird.

Die Bestimmung sieht keine branchenspezifische oder inhaltliche Einschränkungen vor. Im Extremfall sind auch Onlineservices denkbar, bei denen sich ein Betroffener einmalig mit seinen wesentlichen Stammdaten registriert (Name, Anschrift, Geburtsdaten, Kontodaten, ...) und in Zukunft dieses Service beauftragt seine Daten an andere Verantwortliche zu übermitteln.

Beschränkt ist das Recht auf Datenübertragung ausschließlich dadurch, dass nur die vom Betroffenen bereit gestellten Daten übertragen werden müssen, NICHT jedoch die Daten, die der Verantwortliche selbst generiert, etwa Auswertungen, Verbrauchsdaten, Abrechnungsdaten, Vertragsdaten, ...


Beispiele zur Datenportabilität

Zu denken ist an eine Übertragung der Telefonkontaktdaten im Zuge eines Wechsels des Mobilfunk-Diensteanbieters. Der neue Verantwortliche kann alle Mobilnummern unter Einhaltung der Vorschriften des Art 6 DSGVO verarbeiten.

Eine ähnliche Situation liegt vor, wenn ein Bankkunde seine Hausbank wechselt. Im Zuge dessen beantragt er die Übertragung der personenbezogenen Daten gemäß Art 20 DSGVO. Dabei werden Datensätze über die Käufe und Transaktionen des Kontoinhabers übermittelt.

Andere Bereiche in denen die Datenübertragung von Bedeutung sein kann:
- Social Media (Übertragung von Postings, Bildern, Interessen, Profilen, ...)
- Cloud-Service (Übertragung alle hochgeladenen Daten, ...)
- Datingplattformen (Übertragung der eigenen Personenangaben und Partnerpräferenzen)
- Online-Shops (Übertragung von Bestelldaten, Produktpräferenzen, ...)
- Universität (Übertragung der inskribierten Lehrveranstaltungen, ...)
- Suchmaschinen (Übertragung der Suchanfragen, ...)
- Navigationsgeräte (Übertragung der gespeicherter Routen, ...)


Übermittlung an neue Verantwortliche

Gemäß Art 20 DSGVO haben Betroffene das Recht auf Übermittlung der personenbezogenen Daten vom bisherigen Verantwortlichen an einen neuen Veranwortlichen.

Der neue Verantwortliche hat die Vorschriften des Art 5 DSGVO einzuhalten. Somit sind nur für den Zweck der neuen Verarbeitung erforderliche Daten zu speichern. Der Zweckbindungsgrundsatz besagt, dass personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden müssen. Insofern muss der neue Geschäftspartner die Löschung der überschüssigen Daten veranlassen. Das Recht auf Datenübertragbarkeit erleichtert dem Betroffenen somit den beliebigen Wechsel zwischen Dienstanbietern.

Beispielsweise hat ein Betroffener seine Kündigung bei seinem alten Stromlieferanten veranlasst. Im Zuge dessen hat er eine neue Vereinbarung mit einem anderen Stromanbieter abgeschlossen. Mit dieser Kündigung hat der Betroffene zugleich die Datenübermittlung an den neuen Geschäftspartner beantragt. Durch die direkte Übermittlung der personenbezogenen Daten wie zum Beispiel Namen, Adresse, E-Mail, Geburtsdatum, Bankdaten, etc. soll der Betroffen Zeit sparen, indem er seine Daten nicht selbst übermitteln muss.


Beachtung der Rechte Dritter

Im Zuge der Datenübertragung an den neuen Veramtwortlichen können grundsätzlich auch personenbezogene Daten Dritter enthalten sein.

Sowohl der ursprüngliche Verantwortliche, als auch der neue Verantwortliche sind verpflichtet die Rechte Dritter zu beachten. Eine generelle Weigerung die Daten Dritter zu übertragen wird jedoch nicht zulässig sein.

Der ursprünglich Verantwortliche wird jedoch Nachweise beim Betroffenen verlangen können, dass diese Dritten (zB Angehörige, Freunde, ...) dieser Übertragung zugestimmt haben oder aus anderen Gründen die Übertragung zulässig ist.


Formvorschrift, Frist und Entgeltleistung

Das Anspruchsbegehren des Betroffenen auf Datenübertragung kann formlos erfolgen und der Veramtwortliche muss unverzüglich, in jedem Fall aber binnen eines Monats, den Antrag erledigen. In Ausnahmefällen und mit Begründung, beispielsweise bei komplexen Anträgen, hat der Verantwortliche zwei weitere Monate Zeit. Aus dem Recht auf Datenübertragbarkeit dürfen dem Betroffenen keine Kosten entstehen. Zahlungspflicht des Betroffenen entsteht nur bei offenkundig unbegründeten oder aufgrund ihrer Häufigkeit exzessiven Anträgen.

Grundsätzlich erfolgt die Herausgabe und Übertragung der Daten an den neuen Geschäftspartner gemäß Art 20 DSGVO im Rahmen einer Einwilligung des Betroffenen. Weiters kann auch die Datenübertragung mittels einer Vereinbarung zwischen dem Betroffenen und dem neuen Verarbeiter erfolgen. Für Datenübermittlungen mit personenbezogenen Daten Dritter muss ein weiterer Grund, wie zum Beispiel Art 6 DSGVO, für die Rechtmäßigkeit vorliegen.

Das Recht auf Datenübertragung kann nicht gegenüber Auftragsverarbeitern geltend gemacht werden.


Wann werden personenbezogenen Daten vom Betroffenen bereitgestellt?

In den Anwendungsbereich der Datenübertragbarkeit fallen primär personenbezogene Daten des Betroffenen. Der Anspruch erstreckt sich auch auf pseudonymisierte Daten, wenn die Identifizierung des Betroffenen möglich ist, nicht hingegen auf anonymisierte Daten oder Daten Dritter.

Neben Stammdaten fallen auch Daten, die der Betroffene im Zuge eines Dienstes bekannt gegeben hat darunter, zum Beispiel Suchanfragen oder Navi-Daten, Eingaben auf Fitness- oder Gesundheitsgeräten.

Auswertungen anhand von Betroffenen bereit gestellten Daten sind von Art 20 DSGVO ausgenommen. Typische Beispiele Bonitätsbewertungen oder diagnostische Ergebnisse.

Ungeklärt ist derzeit, ob auch Daten, die durch Aktivitäten des Betroffenen erzeugt werden, ebenfalls unter den Begriff "vom Betroffenen bereit gestellt" fallen. Dies wären Aufzeichnung bei medizinischen Gräten, bei Fitnessgeräten, bei Freizeittrackern oder jede sonstige Form von Geo-Location.


Form der elektronischen Übermittlung ungeklärt

Die personenbezogenen Daten müssen vom bisherigen Verantwortlichen so zur Verfügung gestellt werden, dass der Betroffene oder der neue Verantwortliche sie einfach übernehmen kann.

Die DSGVO sieht dazu jedoch keinerlei technische Vorgaben vor. Im Ergebnis werden es XML-Datenstrukturen sein. Es ist jedoch zu hoffen, dass diesbzeüglich rasch Rechtssicherheit geschaffen wird.


Geldstrafe und Schadenersatz

Ein Betroffener kann bei Rechtsverletzung eine Beschwerde bei der Datenschutzbehörde einreichen. Ein Verstoß gegen das Recht auf Datenübertragbarkeit kann gemäß Art 83 DSGVO mit bis zu EUR 20 Mio. oder bis zu 4% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres bedroht.

Weiters hat der Betroffene wegen Verstoß gegen die Bestimmung gemäß Art 21 DSGVO Recht auf Schadenersatz, sofern ein materieller oder immaterieller Schaden entstanden ist. Ein materieller Schaden entsteht, wenn der Verantwortliche keine personenbezogenen Daten im geeigneten Format bereitstellt, obwohl der Betroffene bereit war diese zu empfangen und er dadurch einen zusätzlichen Erhebnungsaufwand hat.

Ein imaterieller Anspruch kann wohl schon allein dadurch entstehen, als dem Betroffenen Grundrechte verwehrt werden. Zum gegenärtigen Zeitpunkt kann aber weder Spruchpraxis, noch höhe des zugesprochenen Schadenersatzes abgeschätzt werden.

Für Schadenersatzklagen gemäß Art 21 DSGVO sind die Zivilgerichte (nicht die Datenschutzbehörde) zuständig. Der Betroffene kann die Klage entweder beim Gericht, in dessen Sprengel er seinen gewöhnlichen Aufenthalt oder Sitz hat oder beim Landesgericht erheben, in dessen Sprengel der Verantwortliche seinen gewöhnlichen Aufenthalt, Sitz oder eine Niederlassung hat.


Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungsservice angeboten. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixabay, Shutterstock, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2024 Information gemäß DSGVO webmaster