EU-Datenschutz-Grundverordnung (DSGVO): Datenschutzrechtliche Pflicht zur Datenübertragung
Wann muss ich Daten übertragen?
Lesedauer: 4 Minuten
Das Recht auf Datenübertragbarkeit (auch „Datenportabilität“ genannt) ermöglicht der betroffenen Personen, „ihre“ Daten zu erhalten sowie für ihre eigenen Zwecke und für verschiedene Dienste wiederzuverwenden.
Wem stehen diese Ansprüche zu?
Jeder betroffenen Person. Diese muss ihre Identität nur dann nachweisen, wenn der Verantwortliche berechtigte Zweifel daran hat.
Näheres zum Nachweis der Identität siehe: Die Betroffenenrechte im Überblick.
Wen trifft diese Pflicht?
Nur der Verantwortliche hat die Datenübertragbarkeit zu gewährleisten.
Wird ein Antrag irrtümlich an einen Auftragsverarbeiter gerichtet, trifft diesen zwar keine ausdrückliche Pflicht, diesen Antrag an den Verantwortlichen weiterzuleiten. Der Auftragsverarbeiter hat jedoch eine Unterstützungspflicht dem Verantwortlichen gegenüber.
Wie muss die Datenübertragung verlangt werden?
Der Antrag kann formlos gestellt werden, allenfalls sogar mündlich. Bei mündlichen Antragstellungen per Telefon werden jedoch in der Regel Zweifel an der Identität bestehen, anders bei einer persönlichen Vorsprache. Siehe dazu Die Betroffenenrechte im Überblick.
Welche Voraussetzungen hat das Recht auf Datenübertragbarkeit?
Die Verarbeitung erfolgt mithilfe automatisierter Verfahren (d.h. Dokumente in Papierform sind ausgenommen), und beruht auf einer Einwilligung der betroffenen Person oder auf einem Vertrag mit der betroffenen Person.
Was ist bei einem Antrag auf Datenübertragung zu tun?
Der Verantwortliche hat der betroffenen Person ihre personenbezogenen Daten, die letztere dem Verantwortlichen bereitgestellt gestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu übermitteln.
Welche Daten sind erfasst?
Neben den Daten, welche direkt den Antragssteller betreffen, sind vom Recht auf Datenportabilität auch die Daten anderer Personen erfasst, wenn sie in engem Zusammenhang mit den Daten der betroffenen Person stehen.
Beispiele: E-Mails, Chatprotokolle, Kontaktlisten, Fotos, Überweisungen.
Muss ein Verantwortlicher seine Systeme anpassen
Der Verantwortliche hat zwar die Pflicht, die Daten in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung zu stellen. Das bedeutet aber nicht, dass er technisch kompatible Datenverarbeitungssysteme zu übernehmen oder beizubehalten hat.
Tipp: Sofern es keine branchenspezifischen gängigen Formate gibt, wird die Verwendung offener Formate wie zB XML, JSON oder CSV empfohlen.
Beispiel: PDF-Fassungen eines E-Mail-Postfaches erfüllen die Voraussetzungen nicht.
Welche Daten stellt die betroffene Person bereit?
Daten sind im Sinne dieser Bestimmungen „bereitgestellt“, wenn die betroffene Person diese aktiv zur Verfügung gestellt hat (z.B. Daten, die über ein Kontaktformular übermittelt werden, Fotos auf einer Social-Media-Plattform), aber auch solche, die durch Nutzung der Dienstleistung bzw. Beobachtung der Tätigkeiten des Nutzers angefallen sind (z.B. Aktivitätsprotokolle, Rohdaten aus einem Smart Meter oder Tracking-Gerät, Websiten-Suchverläufe, Verkehrs- und Standortdaten).
Weitere Beispiele: Aktuelle Wiedergabeliste oder Verlaufsliste bei einem Musik-Streaming-Dienst, Kontakte aus der Webmail-Anwendung etwa zur Erstellung einer Gästeliste, mit Kundenkarten getätigte Einkäufe zur Erstellung einer CO2-Bilanz.
Ausgeschlossen vom Recht auf Datenportabilität sind Daten, die der Verantwortliche selbständig erzeugt, z.B. Nutzerprofil auf Basis einer Analyse der Rohdaten eines Smart Meters, Bewertung des Gesundheitszustandes eines Nutzers, Risikoprofil zwecks Bonitätsbewertung.
Das bedeutet aber nicht, dass keine personenbezogenen Daten der betroffenen Person vorliegen. Andere Betroffenenrechte können daher geltend gemacht werden (insb. Auskunft).
Weitere Rechte
Die betroffene Person hat das Recht, diese Daten einem anderen Verantwortlichen zu übermitteln.
Auf Wunsch der betroffenen Person hat der Verantwortliche diese Daten direkt einem anderen Verantwortlichen zu übermitteln, sofern dies technisch machbar ist.
Die betroffene Person ist von der Datenübertragung zu informieren.
Wie sind die Daten zu übermitteln?
Je nach Umfang können diese per E-Mail, Download (Web, API, SFTP) oder auch auf einem Datenträger übermittelt werden. Da es sich um personenbezogene Daten handelt, sind entsprechende Datensicherheitsmaßnahmen zu ergreifen (z.B. Passwortschutz der übermittelten Dateien).
Kann der Antrag abgelehnt werden?
Der Anspruch der betroffenen Person darf die Rechte anderer Personen nicht beeinträchtigen. Dies ist nicht der Fall, wenn diese „Fremddaten“ in engem Zusammenhang mit den Daten der betroffenen Person stehen, z. B. E-Mails, Chatprotokolle, Kontaktlisten, Fotos, Überweisungen.
Andere Rechte des Verantwortlichen oder Dritter (z.B. Geschäftsgeheimnisse, Urheberrechte udgl.) sind zu berücksichtigen. Sie rechtfertigen jedoch nicht, dass der Antrag auf Datenportabilität komplett abgelehnt wird.
Offenkundig unbegründete oder — insbesondere im Fall von häufiger Wiederholung — exzessive Anträge einer betroffenen Person kann der Verantwortliche ablehnen oder ein angemessenes Entgelt verlangen.
Näheres dazu siehe Die Betroffenenrechte im Überblick.
In welcher Frist ist dem Antrag nachzukommen?
Der Verantwortliche hat den Antrag unverzüglich zu erledigen und zu beantworten, in jedem Fall aber binnen eines Monats ab Eingang, wobei es eine Verlängerungsoption um weitere zwei Monate gibt, die aber speziell zu begründen ist. Näheres dazu siehe: Die Betroffenenrechte im Überblick.
Muss die Datenübertragung kostenlos erfolgen?
Grundsätzlich ja. Näheres dazu sowie zu den Ausnahmen siehe: Die Betroffenenrechte im Überblick.
Wo kann die betroffene Person ihre Ansprüche durchsetzen?
Falls die betroffene Person behauptet, dass ihr Anspruch verletzt worden ist, kann sie zur Durchsetzung dieses Anspruches binnen eines Jahres ab Kenntnis von dem beschwerenden Ereignis eine Beschwerde bei der Datenschutzbehörde einreichen. Alternativ kann der Betroffene auch ein ordentliches Gericht anrufen.
Siehe dazu: Die Betroffenenrechte im Überblick.
Geldstrafen
Die Verletzung des Rechts auf Datenübertragbarkeit ist mit bis zu 20 Mio EUR oder 4% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres bedroht.
Relevante Artikel der DSGVO: Art 11-12, Art 20, Art 23
Relevante Erwägungsgründe: 57-60, 68, 73
Relevante Bestimmungen des DSG: § 24 Abs 4
Stand: 01.05.2024