Datenschutz-Grundverordnung: Recht auf Datenübertragbarkeit

Zum 25. Mai 2018 ist die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Seitdem gilt parallel auch das neue Bundesdatenschutzgesetz (BSDG n. F.), in dem der deutsche Gesetzgeber die Vorgaben der DS-GVO, soweit zulässig, konkretisiert hat. 

Hierdurch ergeben sich vielfältige neue Anforderungen in Bezug auf alle datenschutzrechtlichen Aspekte, insbesondere im Rahmen der Verarbeitung personenbezogener Daten. Betroffen sind nicht nur der Umgang mit Kunden((GENDERNOTICE))- und Arbeitnehmerdaten, sondern z. B. auch die technischen Aspekte der Datensicherheit. 

Die Arbeitsgruppe Datenschutz des HDE hat daher zu den einzelnen Themenfeldern Merkblätter erarbeitet, die wir Ihnen – gesondert für jedes Thema – zur Verfügung stellen. Die Hinweise in den Merkblättern spiegeln die Diskussionen in der Arbeitsgruppe wider, in die auch die derzeit verfügbaren Kommentierungen zur DS-GVO eingeflossen sind. Viele Auslegungsfragen des neuen Datenschutzrechts werden höchstrichterlich allerdings erst im Laufe der nächsten Jahre geklärt werden.

Betroffene Personen haben gegenüber dem Verantwortlichen das Recht, die ihn betreffenden Daten zu erhalten, um sie an einen anderen zu übermitteln

Geldbuße bis zu 20 Mio. EUR oder bis 4 % des gesamten weltweit erzielten Jahresumsatzes sowie behördliche Maßnahmen und ggf. Strafbarkeit

Das Recht auf Datenübertragbarkeit ist neu – es hat Schnittmengen mit dem Auskunftsrecht, ist aber nicht deckungsgleich. 

Das Recht auf Datenübertragbarkeit besteht nur, wenn((Rechtsgrundlage: Art. 20 (1) ))

• die Verarbeitung auf einer Einwilligung beruht oder sie zur Erfüllung eines Vertrages erforderlich ist und
• die Verarbeitung mithilfe automatisierter Verfahren erfolgt
• für personenbezogene Daten der betroffenen Person, die sie dem (jeweiligen) Verantwortlichen bereitgestellt hat 

Es müssen nur solche Daten herausgegeben werden, die die betroffene Person dem Verantwortlichen bewusst und aktiv selbst oder durch Nutzung eines Services oder Gerätes (z. B. SmartHome) bereitgestellt hat.((Rechtsgrundlage: ErwGr 68)) Als Beispiele hierfür werden Suchhistorien und Standortdaten genannt. Eigene Auswertungen und Ableitungen aus den bereitgestellten Daten (z. B. die Analyse durch den Verantwortlichen) unterfallen hingegen nicht dem Anspruch auf Übertragbarkeit (vgl. Working Paper 242 der Art-29-Datenschutzgruppe zur Datenportabilität). 

Mögliche Anwendungsfälle können insbesondere sein: 

• Online-Shops/Kundenkonten
• Kundenkarten/Mitarbeiterkarten 
• Personaldaten bei Mitarbeiterwechsel 
• Private E-Mails im Dienst-Account

Die Daten sind in einem((Rechtsgrundlagen: Art. 20 (1) ))

• strukturierten 
• gängigen und 
• maschinenlesbaren 

Format (Datenbankformat, z. B. XML, SQLite, CSV oder rtf) an den Betroffenen zu übermitteln.

Denkbar sind die Übersendung eines Datenträgers oder die durch Benutzernamen und Passwort geschützte Bereitstellung der Daten zum Download.((Rechtsgrundlagen: Art. 20 (2) ))

Der Betroffene hat auch das Recht zu verlangen, dass die Daten direkt von einem Verantwortlichen an einen anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist. Für diesen Übermittlungsvorgang fehlen aktuell noch die erforderlichen Schnittstellen. 

Nach Auffassung des HDE dürfen an die technische Machbarkeit derzeit keine zu hohen Anforderungen gestellt werden. Vielmehr sollte ausreichend sein, dass die Verantwortlichen nicht das gleiche Dateiformat verwenden und eine Umwandlung in ein kompatibles Format nicht ohne Weiteres möglich ist.((Rechtsgrundlage: ErwGr 68 (Mitte) )) Ist dies nicht der Fall, kann der Betroffene nur die Übermittlung an ihn selbst verlangen. Denn der Verantwortliche soll nicht verpflichtet werden, technisch kompatible Datenverarbeitungssysteme zu übernehmen oder beizubehalten.

Die Auskunftserteilung muss unverzüglich, spätestens jedoch innerhalb eines Monats erfolgen. Nur in begründeten Ausnahmefällen ist eine längere Frist zulässig, wenn dies unter Berücksichtigung der Komplexität und der Zahl der Anträge erforderlich ist. Der Betroffene ist innerhalb der Monatsfrist über die Fristverlängerung und ihre Gründe zu informieren.((Rechtsgrundlage: Art. 12 (3) ))

Wenn der Verantwortliche nicht in der Lage ist((Rechtsgrundlage: Art. 12 (2) )), die betroffene Person eindeutig zu identifizieren, darf er sich weigern, dem Antrag der betroffenen Person nachzukommen.((Rechtsgrundlage: Art. 12 (4) )) In diesem Fall ist der Betroffene unverzüglich, spätestens jedoch innerhalb eines Monats zu informieren. Bestehen Zweifel hinsichtlich der Identität, können weitere Informationen angefordert werden.((Rechtsgrundlage: Art. 12 (6) )) Bei Anfragen per einfacher E-Mail oder Web-Formular ist eine Identitätsfeststellung in der Regel nicht hinreichend sicher möglich, so dass weitere Maßnahmen zur Identitätsfeststellung erforderlich sein dürften (z. B. telefonische Rückfragen, postalische Kontaktaufnahme).

Das Recht auf Datenübertragbarkeit besteht nicht, wenn die Verarbeitung der personenbezogenen Daten nur auf einer rechtlichen Verpflichtung des Verantwortlichen beruht.((Rechtsgrundlage: ErwGr 68 ))

Wenn ein Datensatz auch personenbezogene Daten Dritter enthält, sind diese Daten aus dem Datensatz vor der Übermittlung zu entfernen. Die Grundrechte und Grundfreiheiten Dritter sollen unberührt bleiben. Dazu gehören etwa auch Geschäftsgeheimnisse des Verantwortlichen.((Rechtsgrundlage: Art. 20 (4) [nur zu Art. 20 (2)] generell aber ErwGr 68, 63))

Im deutschen BDSG-neu sind keine weiteren Regelungen zur Datenübertragbarkeit getroffen.