Recht auf Datenübertragbarkeit – Artikel 20 DSGVO
Als ein neues Betroffenenrecht wurde vom Verordnungsgeber in Artikel 20 DSGVO sowie in dem korrespondierenden Erwägungsgrund 68 das Recht der betroffenen Person auf Übertragbarkeit ihrer Daten eingeführt. Der nachfolgende Beitrag befasst sich mit dem Inhalt und Umfang dieses Anspruchs, greift Praxisprobleme auf und gibt Tipps zum Umgang mit diesem Recht der betroffenen Person. In einem einführenden Video gebe ich einen Überblick in die Materie und, wenn Sie möchten, können Sie sich den Beitrag vorlesen lassen. Eben multimedial, so wie Sie es von der datenrecht.ACADEMY gewohnt sind.
Einen ersten Eindruck von der Regelung vermittelt meine Video-Kurzkommentierung zu Artikel 20 DSGVO.
Teilen Sie diesen Beitrag zur DSGVO:
Das Recht auf Datenübertragbarkeit gibt der betroffenen Person unter bestimmten Voraussetzungen das Recht, Daten vom Verantwortlichen »ausgehändigt« zu bekommen beziehungsweise vom Verantwortlichen zu verlangen, dass dieser die Daten an einen anderen Verantwortlichen übermittelt. Sinn und Zweck ist es, dass betroffenen Personen bestimmte Daten von einer IT-Umgebung ohne Schwierigkeiten und Behinderungen in eine andere IT-Umgebung verschieben, kopieren oder übertragen können.
Hintergrund ist nicht zuletzt, dass betroffene Personen, wenn sie erst eines der sozialen Netzwerke mit Unmengen persönlicher Daten, Vorlieben, Freundschaftskontakten etc. und sonstigen Posts gefüttert haben, davon absehen könnten, zu einem anderen sozialen Netzwerk zu wechseln; immerhin müssten die ganzen Daten dort ja wieder neu eingegeben werden (sog. »Lock-in-Effekt«). Sicherlich ein löblicher Ansatz, nur kann ich nicht erkennen, dass er sich als wirklich praxistauglich erwiesen hat. Zum einen gibt es nicht sehr viele soziale Netzwerke, die derart miteinander vergleichbar wären, dass sich ein solcher Anspruch anbieten würde; insoweit hat Meta (früher: Facebook) ganze Arbeit geleistet. Zum anderen gibt es außerhalb sozialer Netzwerke nicht wirklich naheliegende Anwendungsgebiete. Für mich ist dieses Recht eigentlich eher ein klassischer Rohrkrepierer.
Erwogen wird allerdings auch, den Anspruch auf sonstige Cloudanbieter zu übertragen. Inwieweit dies Sinn ergibt und ob überhaupt relevante personenbezogene Daten in diesem Fall einschlägig sind, bleibt abzuwarten. Irgendwann findet angeblich ja jeder Topf mal seinen Deckel.
Die Artikel-29-Datenschutzgruppe führte als Beispiele die Übertragung von Playlists bzw. Abspiel-Historien von einem Unterhaltungsportal zu einem anderen, die Übertragung von Adresslisten von einem E-Mail-Provider auf einen anderen sowie Einkaufshistorien an. Als weiterer Anwendungsbereich werden die Mitnahme von Personaldaten bei einem Arbeitgeberwechsel, die Übertragung von Daten zum Fahrverhalten, die Herausgabe von Patientendaten und das Internet of Things (IoT) diskutiert. Relevant soll die Norm zudem bei allen Technologien sein, deren Geschäftsmodelle die Auswertung oder Sammlung einer Vielzahl von personenbezogenen Daten zum Gegenstand haben.
Artikel-29-Datenschutzgruppe
Sie war ein unabhängiges Beratungsgremium zu Fragen des Datenschutzes.
Mit Veröffentlichung der DSGVO ist der Europäische Datenschutzausschuss an ihre Stelle getreten und in Artikel 94 Absatz 2 DSGVO als Nachfolgegremium etabliert. Solange der Ausschuss keine gegenteiligen Beschlüsse erlässt, gelten die Stellungnahmen der »Artikel-29-Datenschutzgruppe« fort.
Umfang des Anspruchs
Das Recht auf Datenübertragbarkeit ist nur auf solche Daten anwendbar, die dem Verantwortlichen vom Betroffenen bereitgestellt wurden. In negativer Hinsicht ist anerkannt, dass damit Daten, die der Verantwortliche erst im Rahmen einer Datenverarbeitung selbst generiert, auch wenn sie das Kriterium der Personenbezogenheit erfüllen, nicht von Artikel 20 DSGVO erfasst sind. Ebenso sind allgemein zugängliche, aufgrund rechtlicher Verpflichtungen erlangte sowie von Dritten bereitgestellte Daten kein Gegenstand des Rechts auf Datenübertragbarkeit.
Voraussetzungen des Anspruchs
Zum einen muss es sich überhaupt um personenbezogene Daten handeln. Insoweit sei auf die weite Auslegung des Begriffs verwiesen. Sodann müssen die Daten, wie bereits dargestellt, von der betroffenen Person selbst bereitgestellt worden sein.
Unter Einleitung mit der Vokabel »sofern« stellt Artikel 20 Absatz 1 Buchstabe a) DSGVO klar, dass das Recht auf Datenübertragbarkeit auf personenbezogene Daten beschränkt ist, die aufgrund spezieller Rechtsgrundlagen verarbeitet werden.
Rechtsgrundlage Einwilligung oder Vertrag
Entweder muss die Verarbeitung aufgrund einer Einwilligung oder eines Vertrages gegeben sein. Als einschlägige Einwilligungstatbestände nennt die Norm ausdrücklich Artikel 6 Absatz 1 Buchstabe a) DSGVO und eine Einwilligung für sensitive Daten gemäß Artikel 9 Absatz 2 Buchstabe a DSGVO. Daneben kommt ein Vertrag gemäß Artikel 6 Absatz 1 Buchstabe b DSGVO als Erlaubnistatbestand in Betracht. Die Verarbeitung aufgrund sonstiger Rechtsgrundlagen ist ausgeschlossen, was auch schon aus Erwägungsgrund 68 folgt.
Mithilfe automatisierter Verfahren
Schließlich muss die Bereitstellung der Daten durch den Betroffenen mittels automatisierter Verfahren erfolgt sein. Dieses Kriterium dient der Abgrenzung zu Formen der analogen Zurverfügungstellung von Daten, beispielsweise bei Papierakten oder Karteikartensystemen und ist bei Anbietern von Webdiensten also typischer Weise erfüllt. Der mit dieser Eingrenzung verfolgte Zweck liegt auf der Hand: Die verantwortliche Stelle soll insoweit entlastet werden, als ihr nicht die zusätzliche Arbeit, nicht-digitale Inhalte in maschinenlesbare Daten umwandeln zu müssen, aufgebürdet werden soll. Eigentlich logisch.
Strukturiertes, gängiges und maschinenlesbares Format
Artikel 20 gibt das Recht, »die sie betreffenden personenbezogenen Daten (...) in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten«.
Der Verweis auf ein spezielles Format grenzt den Anspruch auf Datenübertragbarkeit ganz wesentlich von dem Anspruch auf Auskunft gemäß Artikel 15 Absatz 1 DSGVO ab, der letztlich kein derart eingeschränktes Format verlangt. Wo wir schon beim Thema der Abgrenzung gegenüber dem Auskunftsanspruch sind: Artikel 15 DSGVO gibt auch kein Recht, die Übertragung der personenbezogenen Daten auf einen Dritten zu erwirken.
Hauptzweck dieser besonderen Anforderung ist es, die Interoperabilität sicherzustellen. Bei der Auslegung der einzelnen Parameter ist diese also im Blick zu halten.
Maschinenlesbar
Maschinenlesbar heißt nicht digital. Das Kriterium erfasst sowohl digitale als auch papierbasierte, einscanbare Formate, die eine software- bzw. computergesteuerte Verarbeitung ermöglichen. Auch hier ist ein entscheidender Unterschied zu Artikel 15 DSGVO, dem Anspruch auf Auskunft, zu erkennen. Der Auskunftsanspruch ist gemäß Artikel 15 Absatz 3 Satz 3 und in Verbindung mit Artikel 12 Absatz 1 Satz 2 DSGVO u.a. »elektronisch« möglich; das Kriterium »maschinenlesbar« geht erkennbar darüber hinaus.
Strukturiert
Bisweilen wird davon ausgegangen, dass das elektronische Format per se strukturiert ist. Diese Logik erschließt sich mir nicht. Von strukturierten Daten wird in der digitalen Welt gemeinhin gesprochen, wenn diese mithilfe von sogenannten »Markups« eine erkennbare Struktur erhalten. Die Idee geht auf die sogenannte Standard Generalized Markup Language (auf Deutsch: Genormte Verallgemeinerte Auszeichnungssprache) zurück, die mit SGML abgekürzt wird. Die Idee der Markups stützt sich auf die frühe Printbranche. Die Mitarbeiter, die einen Text in eine Druckvorlage umsetzen mussten, wussten oft nicht, was eine Überschrift sein und folglich hervorgehoben werden musste, oder ob bestimmte Textteile kursiv, fett oder unterstrichen gedruckt werden sollten. Daher wurde die textliche Vorlage vom Autor entsprechend »markiert«. Diese Idee wurde durch SGML in die digitale Welt übertragen und bestimmte Textstellen erhielten Markups, die einem ausführenden Programm zeigten, wie eine bestimmte Textstelle dargestellt und strukturiert werden musste. Das Markup wird dabei üblicherweise in eckige Klammern notiert. So wäre bei dem Markup <Überschrift>Das ist eine Überschrift</Überschrift> klar, dass die Buchstaben größer und ggf. fetter als der restliche Text erscheinen, die Überschrift aber eben vor allem »über« dem eigentlichen Text dargestellt werden musste (Strukturvorgabe!), sonst wäre es ja eine »Unterschrift«. Übrigens ist aus SGML die oft so bezeichnete “Internetsprache” HTML (Hypertext Markup Language) entstanden.
Anerkannt sind im Rahmen von Artikel 20 DSGVO insoweit die Formate XML, JSON, CSV; die bis auf CSV in enger Verwandtschaft zu SGML stehen.
Gängig
Dies sind dann auch »gängige« Formate, wobei m.E. der Schwerpunkt dieses Kriteriums darauf liegt, dass all die genannten Formate (inklusive SGML und HTML) mit einfachen Texteditoren geöffnet und bearbeitet werden können, die praktisch auf jedem Computerbetriebssystem vorhanden sind.
Ausnahmen und Grenzen
Gemäß Artikel 20 Absatz 3 Satz 1 DSGVO bleibt das Recht auf Löschung gemäß Artikel 17 DSGVO unberührt. Das bedeutet zum einen, dass neben der Datenübertragung auch noch (zusätzlich nach der Übertragung) die Löschung verlangt werden kann. Andererseits muss dieser Verweis so verstanden werden, dass personenbezogene Daten zu löschen sind, wenn die speziellen Voraussetzungen gegeben sind und die Daten nicht allein weiter gespeichert werden dürfen, nur weil sie vielleicht irgendwann einmal übertragen werden sollen.
Daneben betrifft Artikel 20 Absatz 3 Satz 2 DSGVO eine Ausnahme vom Anwendungsbereich des Rechts auf Datenübertragbarkeit bezüglich Daten, die dem Verantwortlichen für eine Verarbeitung, die für die Wahrnehmung einer Aufgabe in öffentlichem Interesse oder der Ausübung öffentlicher Gewalt erfolgt, vom Betroffenen bereitgestellt wurden. Die Begriffe entsprechen denjenigen aus Artikel 6 Absatz 1 DSGVO, sodass auf die Ausführungen im Themenkomplex »Rechtsgrundlagen« verwiesen werden kann.
Gemäß Artikel 20 Absatz 4 darf »das Recht gemäß Absatz 1 die Rechte und Freiheiten anderer Personen nicht beeinträchtigen«. Das spielt bei sozialen Netzwerken eine Rolle, weil ja eben, dem Netzwerkgedanken folgend, die Daten verschiedener Personen miteinander verwoben sind und die Übertragung der anfragenden Person, die Übertragung der Daten einer anderen Person bedeuten könnte. Weiterhin sind aber natürlich auch Urheberrechte gemeint und Geschäftsgeheimnisse.
Kostenlose* Webinare der datenrecht.ACADEMY
*Die Teilnahme an den aufgeführten Webinaren kostet kein Geld. Als Gegenleistung für die Teilnahme an einem der genannten Webinare notiere ich Sie als Empfänger meines regelmäßigen Newsletters und von Werbeinformationen über die datenrecht.ACADEMY. Nach Bestätigung Ihrer Daten sind Sie für meinen E-Mail-Newsletter angemeldet und erhalten von mir regelmäßig aktuelle Informationen zum gesamten Datenrecht, zu meinen Online-Kursen und Dienstleistungen sowie zu weiteren Webinaren. Sie können sich jederzeit kostenfrei für die Zukunft vom Newsletter und vom Empfang von Werbung per E-Mail an mail@andreasriehn.biz oder durch Anklicken des Abmelde-Links am Ende des Newsletters abmelden. Weitere Informationen finden Sie in meiner Datenschutzerklärung (Menüpunkt »Datenschutz«).
