Im Bündel der Betroffenenrechte ist das der Datenübertragbarkeit mit am wenigsten bekannt. Gerade die Anwendung in der Praxis ist mit vielen Fragen verbunden, auf die der heutige Beitrag ein paar Antworten geben soll.
Der Inhalt im Überblick
- Was ist das Recht auf Datenübertragbarkeit?
- Anfragen von Betroffenen
- Wie kann die Datenübertragung verlangt werden?
- Umsetzung des Rechts auf Datenübertragbarkeit
- Das Recht auf Datenübertragung im Arbeitsverhältnis
- Was kann der Betroffene tun, wenn sein Recht auf Datenübertragbarkeit nicht erfüllt wird?
- Kritik am Recht auf Datenübertragbarkeit
- Auf dem Weg in eine komfortablere Zukunft mit eigener Datenkontrolle
Was ist das Recht auf Datenübertragbarkeit?
Das Betroffenenrecht wird auch als Recht auf „Datenportabilität“ bezeichnet. Es ist in Artikel 20 DSGVO geregelt. Es geht darum, die eigenen personenbezogenen Daten von einer Datenbank in eine andere übertragen bzw. übertragen lassen zu können. Dafür hat man als betroffene Person das Recht:
- personenbezogene Daten in einem geeigneten Format zu erhalten (z. B. über einen USB-Stick, eine CD, die private Cloud oder aber einen Barcode),
- personenbezogene Daten an einen anderen Anbieter zu übermitteln oder
- personenbezogene Daten von einem Anbieter an einen anderen Anbieter übermitteln zu lassen.
Die Bedeutung könnte enorm sein, doch bis heute sind einige technische Umsetzungsprobleme nicht gelöst.
Voraussetzungen des Art. 20 DSGVO
Voraussetzungen für die Anwendbarkeit des Artikel 20 sind zunächst das Vorliegen von personenbezogenen Daten und dass diese „einem Verantwortlichen bereitgestellt“ wurden. Dies wird eher weit gefasst, beschränkt sich also nicht auf aktiv vom Betroffenen eingegebene, sondern auch auf unbewusst erhobene Daten (z.B. durch Tracking der Nutzungsaktivität o.ä.). Nicht erfasst sind aber vom Verantwortlichen selbst erst erschaffene personenbezogene Daten, die z.B. Ergebnis einer Bewertung durch einen Algorithmus sind.
Zudem müssen die Daten auf Basis eines Vertrages oder einer Einwilligung erhoben und verarbeitet worden sein. Daten, die auf Basis anderer Rechtsgrundlagen verarbeitet werden, unterliegen nicht der Datenübertragbarkeit.
Zuletzt muss die Datenverarbeitung auch mithilfe automatisierter Verfahren erfolgen. Damit sind allerdings die meisten digitalen Datenbanksysteme immer erfasst.
Fehlt eine der Voraussetzungen, so besteht bezüglich der betroffenen Daten kein Recht auf Datenübertragung.
Anwendungsbereich und Zweck
Ziel der Regelung war einerseits, Betroffenen mehr Kontrolle über ihre Daten zu geben, und darüber mittelbar den Wettbewerb zu fördern. So war es gerade für Verbraucher oft wenig attraktiv, einen Anbieter zu wechseln, wenn dies mit komplizierten neuen Datenangaben einher ging. Auch dass die Daten vom alten Anbieter meist verloren waren, führte oft zum sogenannten „Lock-in-Effekt“.
Durch die Datenübertragung soll also die Möglichkeit gestärkt werden, sich zwischen Anbietern frei entscheiden zu können, es geht auch um Verbraucherschutz.
Beispiel für das Recht auf Datenübertragbarkeit
In der Praxis ist die Datenübertragbarkeit gerade bei Banken oder im Gesundheitswesen von höherer Bedeutung. Gerade die Übertragung von Patientendaten kann z.B. bei einem Wohnortwechsel sehr wichtig sein, um beim neuen Hausarzt alle Patientendaten zu bündeln. Da die digitale Patientenakte noch immer nicht eingeführt ist, kann es dabei auch Jahre nach der Einführung der DSGVO noch zu technischen Schwierigkeiten kommen. Doch mit dem Anspruch auf Datenübertragbarkeit ist es einfacher, alle relevanten Informationen dort hin zu bekommen, wo sie gebraucht werden.
Anfragen von Betroffenen
Als Unternehmen ist es jederzeit möglich, dass eine betroffene Person das Recht auf Datenübertragung geltend macht. Wenn für solche Anfragen ein Prozess existiert, kommt keiner ins Schlingern, wenn die erste Anfrage kommt.
Wann besteht ein Recht auf Datenübertragbarkeit?
Das Recht besteht, wenn Sie als Verantwortlicher:
- persönliche Daten verarbeiten,
- die auf Basis eines Vertrags oder einer Einwilligung
- von der betroffenen Person bereitgestellt (also in Ihr System eingegeben oder von ihrem System direkt bei der Person erhoben) wurden
- und diese Daten mittels automatisierter Verfahren (insb. digital) verarbeitet werden.
Alle Voraussetzungen müssen zusammen vorliegen.
Wann besteht kein Recht auf Datenübertragbarkeit?
Ein Recht auf Datenübertragbarkeit besteht nicht, wenn:
- die Verarbeitung personenbezogener Daten zur Wahrnehmung öffentlicher Aufgaben erfolgt (Art. 20 Abs. 3 Satz 2 DSGVO)
- die Rechte und Freiheiten anderer Personen betroffen sind (Art. 20 Abs. 4 DSGVO)
- eine Übertragung personenbezogener Daten von einem Anbieter zu einem anderen Anbieter technisch nicht zumutbar möglich ist.
Die erste Ausnahme ist das Spiegelbild dazu, dass nur Daten, die aufgrund Vertrages oder Einwilligung verarbeitet werden, vom Recht auf Datenübertragbarkeit erfasst werden. Entsprechend trifft dies auf Daten, die zur Wahrnehmung öffentlicher Aufgaben verarbeitet werden, nicht zu.
Eine gänzlich eigene Einschränkung stellt aber der Fall dar, in dem Rechte und Freiheiten anderer Personen betroffen sind. Hier sind verschiedene Konstellationen erfasst, insbesondere wenn durch die Übertragung Immaterialgüterrechte beeinträchtigt würden (z.B. die Rechte des Fotografen an Fotos). Auch Geschäftsgeheimnisse, die durch eine Übertragung offenbart würden, hindern das Recht auf Datenübertragbarkeit. In der Praxis sollte hier dennoch immer genau geschaut werden – nicht jedes bloße Risiko, dass sich aus einem Datensatz ggf. geheime Informationen ableiten lassen könnten, reicht aus, um eine Anfrage abzulehnen!
Schwierig sind Fälle, in denen auch persönliche Daten Dritter betroffen sind (z.B. bei E-Mails, die die E-Mail-Adressen der Sender und Empfänger enthalten). Ob hier eine ausreichende „Betroffenheit“ vorliegt, um die Übertragung zu hindern, ist nicht endgültig entschieden. Bisher wird bei E-Mails eher ein Recht auf Datenübertragbarkeit bejaht.
Zuletzt wird auch realen Hindernissen Relevanz eingeräumt. Vielfach sind technische Systeme nicht ohne weiteres kompatibel, sodass eine direkte Übertragung nicht möglich ist. Soweit ein Transfer nicht mit zumutbarem Aufwand machbar ist, kann er daher verwehrt werden. Auch hier kann aber nicht jede kleinste Hürde schon als Grund zur Ablehnung des Rechtsanspruchs herangezogen werden. Wo eine direkte Übertragung ggf. unmöglich bleibt, ist ein in gängigem Format an den Betroffenen selbst übermittelter Datensatz ggf. dennoch erforderlich. Wichtig hierbei: Es ist ein interoperables Format verlangt, bloße Auflistungen in PDF-Format genügen regelmäßig nicht.
In welcher Frist ist der Betroffenenanfrage nachzukommen?
Wie alle Betroffenenrechte ist der Anfrage unverzüglich nachzukommen, die Beantwortung darf nicht länger als 30 Tage dauern.
Wie kann die Datenübertragung verlangt werden?
Es ist ein Antrag des Betroffenen beim jeweiligen Anbieter zu stellen, der die eigenen personenbezogenen Daten vorhält. Nicht zwingend, aber zu empfehlen ist es, den Antrag schriftlich oder in Textform zu stellen. Wer eine Vorlage haben möchte, die sicher alle Angaben enthält, kann auf diesen Musterbrief zurückgreifen.
Die Identität des Betroffenen sollte schon bei Antragsstellung in geeigneter Weise nachgewiesen werden, da der Anbieter anderenfalls den Anspruch zurückweisen kann, Art. 12 Abs. 2 Satz 2 DSGVO. Bei begründeten Zweifeln an der Identität des Betroffenen, kann der Anbieter darüber hinaus zusätzliche Informationen zur Bestätigung der Identität anfordern (Art. 12 Abs. 6 DSGVO).
Geld darf für die Übertragung von Daten nicht verlangt werden, das Betroffenenrecht ist unentgeltlich zu gewähren.
Umsetzung des Rechts auf Datenübertragbarkeit
Ein paar Tipps zur konkreten Umsetzung können wir Ihnen mitgeben.
Wie sind die Daten zu übermitteln?
Die Daten sind in einem interoperablen Format zu Verfügung zu stellen. Es wird empfohlen, ein offenes Format zu wählen (z.B. XML, JSON oder CSV, etc.). PDFs erfüllen die Vorgaben regelmäßig nicht. Die Bereitstellung kann – je nach Umfang – per E-Mail, Daten-Download oder auch auf einem physischen Datenträger erfolgen.
Was ist den Verantwortlichen technisch zumutbar?
Hier gibt es noch keine endgültigen Antworten. Gängige, ohne besondere finanzielle (z.B. teure Software-Lizenzierungen) und technische Hürden verfügbare Formate muss ein Verantwortlicher bereitstellen. Aber nicht jedes obskure Dateiformat, das ein Betroffener ggf. fordert, muss auch gewährt werden.
Das Recht auf Datenübertragung im Arbeitsverhältnis
Eine besondere Problematik stellt sich in Arbeitsverhältnissen. Da die meisten Datenverarbeitungen in diesem Zusammenhang auf Basis des Arbeitsvertrags passieren, ist prinzipiell ein Recht auf Datenübertragung möglich. Hier werden aber viele Daten die Rechte Dritter betreffen oder auf eigenen Verarbeitungen des Arbeitgebers beruhen, sodass sie nicht „vom Betroffenen bereitgestellt“ wurden und vom Anspruch nicht erfasst wären. Dies auseinander zu sortieren kann ggf. große Schwierigkeiten für ein Unternehmen darstellen. Detaillierter gehen wir darauf im Beitrag zur Datenübertragbarkeit im Arbeitsverhältnis ein.
Was kann der Betroffene tun, wenn sein Recht auf Datenübertragbarkeit nicht erfüllt wird?
Weigert sich ein Verantwortlicher, das Betroffenenrecht zu erfüllen, so kann eine Beschwerde bei der Aufsichtsbehörde erfolgen. Hierüber muss der verantwortliche ebenso informieren, wie er auch seine Ablehnung des Betroffenenanspruchs begründen muss.
Es ist auch möglich, den Anspruch gerichtlich geltend zu machen. Dabei kann es sich – je nach ggf. vertraglicher Grundlage der Datenverarbeitung – auch um zivil- oder arbeitsrechtliche Ansprüche handeln. Insofern sollte ggf. anwaltlicher Rat hinzugezogen werden, um keine formalen Fehler zu machen.
Kritik am Recht auf Datenübertragbarkeit
Bisher hat das Recht wenig praktische Relevanz, weil es weit überwiegend an der Kompatibilität der Datensysteme fehlt, sodass das Recht aufgrund technischer Hürden ins Leere geht. Gerade wenn Projekte wie die digitale Patientenakte auf Eis gelegt werden, weil noch umfassende Mängel vorliegen, ist das Recht nur sehr theoretisch vorhanden.
Wie sich in der praktischen Anwendung gezeigt hat, lehnen Anbieter teilweise fremde Datensätze ab. Gerade im Bereich der Musik-Playlists stellen zwar die meisten Anbieter (gezwungener Maßen) den Download bereit, aber eine Upload-Möglichkeit gibt es nicht. Der Betroffene hat dann selbst die Daten, aber der eigentlich beabsichtigte Transfer funktioniert nicht, da es keine rechtliche Verpflichtung der Anbieter gibt, diese Datensätze auch anzunehmen und zu verarbeiten.
Auch die EU hat erkannt, dass es gerade bezüglich rechtsverbindlicher Standards noch erheblichen Handlungsbedarf gibt. Bis diese aber eingeführt und ihre Nutzung ggf. auch rechtlich verpflichtend ist, steht der Betroffene noch immer oft mit einem für ihn eher nutzlosen Daten-Download da und muss seine Daten immer wieder neu händisch eingeben.
Auf dem Weg in eine komfortablere Zukunft mit eigener Datenkontrolle
Das Recht auf Datenübertragbarkeit hat noch immer nicht so richtig Fahrt aufgenommen, doch mit fortschreitender Digitalisierung in allen Branchen kann es eine große Zukunft haben. Statt sich mit manuellem Abtippen abzumühen und dauernd neue Datenblätter auszufüllen, könnten irgendwann wirklich die eigenen Daten unter eigener Kontrolle weitergegeben werden. Dort sind wir noch nicht angekommen – aber die Weichen sind gestellt.
Wie sieht es hier bei Daten von einem Steuerberater zum nächsten aus, insbesondere wenn diese bspw. in DATEV hinterlegt bzw. mit den üblichen Verfahren erstellt/bearbeitet wurden?
Hierbei wird ganz entscheidend sein, ob es sich um von den Mandanten des Steuerberaters bereitgestellte Daten handelt, da nur diese vom Recht auf Datenübertragbarkeit erfasst sind. Die eigenen Arbeitsergebnisse des Steuerberaters sind nicht auf dieser Grundlage zu übertragen. Und auch hier kann es natürlich daran scheitern, dass der neue Steuerberater nicht verpflichtet ist, die Daten auch anzunehmen und in sein System einzuspielen.
Gerade hinsichtlich der Stammdaten eines Mandanten wäre aber wohl von einem Recht auf Datenübertragbarkeit auszugehen.
Der Aussage PDFs erfüllen das Kriterium regelmäßig nicht kann ich absolut nicht zustimmen. PDFs sind eine Druckvorstufe und immer dann perfekt – und nur alleinig – dazu geeignet, wenn Dokumente bereitgestellt werden, die ansonsten in Briefform übertragen werden, z.B. eine Schufa Auskunft, Arztbriefe, etc. Die Schufa z.B. schickt als kostenfreie Auskunft nur einen Brief, bietet im Anschluss diesen Brief auch zum Download an, als JPG-Dateien in gerade lesbarer Qualität in einem Zip-Ordner. Aus meiner Sicht ist gerade das eben kein übertragbares Format, das PDF wäre hier das Mittel der Wahl.
Die von Ihnen genannten Beispiele betreffen gerade nicht das Recht auf Datenübertragbarkeit, um das es hier im Beitrag ging. Die Auskunft ist ein anderes Betroffenenrecht, das anderen Regeln unterliegt, die beiden Rechte sind daher durch andere Maßnahmen korrekt und umfassend erfüllt.
Weder Arztbriefe noch Schufa-Scores unterliegen wohl dem Recht auf Datenübertragbarkeit, oftmals handelt es sich dabei schließlich nicht um vom Betroffenen bereitgestellte Daten, sondern um Arbeitsergebnisse des Arztes oder der Schufa.
Ein PDF von der Liste der bisher auf Spotify gehörten Songs ist nicht mit einer JSON-Datei vergleichbar, die die Metadaten der Songs enthält und die von diversen Musikprogrammen ausgelesen werden kann, um Playlists sofort wieder verfügbar zu machen und „beliebteste“ Lieder entsprechend auflisten zu können. Deswegen genügt regelmäßig das PDF den Ansprüchen des Rechts auf Datenübertragbarkeit nicht. Ein JPG würde dem auch nicht genügen, da es eher noch weniger maschinenlesbare Informationen enthält.
Im Bereich des Auskunftsrechts gelten aber wie bereits gesagt andere Kriterien als beim Recht auf Datenübertragbarkeit. Entsprechend ist hier auch zu unterscheiden.
Wie sieht es mit per SmartMeter beim Energieversorger erfassten persönlichen Verbrauchsdaten aus, sind diese ebenfalls vom Recht auf Datenübertragbarkeit erfasst?
Zum Smart Metering hatten wir bereits einen Beitrag. Für die beim Smart Metering anfallenden personenbezogene Daten gelten selbstverständlich auch die Vorgaben der DSGVO. Darüber hinaus räumt der § 53 MsbG dem Anschlussnutzer zumindest auch ein Auskunftsrecht über die nicht personenbezogen Daten ein und legt im § 61 MsbG Informationen fest, die vom Messbetreiber vorzuhalten sind.