Datenportabilität: Begriff und Bedeutung
Datenportabilität bezeichnet das Recht einer Person, bestimmte sie betreffende Daten, die bei einem Anbieter oder einer sonstigen Stelle gespeichert sind, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten an einen anderen Anbieter zu übermitteln oder übermitteln zu lassen. Der Kern liegt darin, die Wechselmöglichkeit zwischen Diensten zu erleichtern und die Kontrolle über eigene Informationen zu stärken. Datenportabilität ist nicht mit dem Recht auf Auskunft oder Löschung gleichzusetzen, sondern ergänzt diese, indem sie den Transfer nutzbarer Datensätze ermöglicht.
Rechtsrahmen und Grundprinzipien
Zielsetzung
Ziel der Datenportabilität ist die Förderung von Transparenz, Fairness und Wahlfreiheit. Personen sollen die bei einem Dienst entstandenen Daten zweckgebunden weiterverwenden können, um etwa den Wechsel des Dienstes zu erleichtern, mehrere Angebote parallel zu nutzen oder persönliche Datenbestände zu sichern.
Geltungsbereich
Datenarten
Vom Recht auf Datenportabilität erfasst sind personenbezogene Daten, die die betroffene Person einem Anbieter bereitgestellt hat. Dazu zählen typischerweise:
- Aktiv bereitgestellte Daten (z. B. Registrierungsdaten, Inhalte, Einstellungen)
- Beobachtete Daten, die durch die Nutzung eines Dienstes anfallen (z. B. Protokolle der Nutzung, Aktivitätsdaten, Messwerte)
Regelmäßig nicht umfasst sind durch den Anbieter abgeleitete, berechnete oder aus Profiling resultierende Daten (z. B. Scores, Wahrscheinlichkeiten, interne Bewertungen), soweit sie nicht auf bereitgestellten oder beobachteten Daten beruhen und als solche nicht gesondert herausgegeben werden müssen.
Verantwortliche und Empfänger
Adressat des Anspruchs ist die Stelle, die über Zwecke und Mittel der Datenverarbeitung entscheidet (häufig Unternehmen, Plattformen, Vereine oder andere Organisationen). Empfänger kann die betroffene Person selbst oder ein anderer Dienst sein, an den die Daten übertragen werden.
Technische Voraussetzungen
Datenportabilität bezieht sich auf automatisierte Datenverarbeitungen. Nicht-automatisierte, rein papierbasierte Datenbestände fallen regelmäßig nicht darunter.
Voraussetzungen der Ausübung
Die Portabilität setzt in der Regel voraus, dass die Datenverarbeitung auf Einwilligung der betroffenen Person oder auf einem Vertrag mit ihr beruht und die Daten automatisiert verarbeitet werden. Vor der Herausgabe kann eine angemessene Identitätsprüfung erfolgen, um Missbrauch zu vermeiden. Bei der Übermittlung sind die Rechte und Freiheiten Dritter zu wahren.
Grenzen und Abwägungen
Das Recht auf Datenportabilität findet dort Grenzen, wo schutzwürdige Interessen anderer entgegenstehen oder rechtliche Pflichten der datenhaltenden Stelle betroffen sind. Zu berücksichtigen sind insbesondere:
- Rechte und Interessen Dritter (z. B. Schutz personenbezogener Daten anderer Personen, etwa in Nachrichtenverläufen)
- Betriebs- und Geschäftsgeheimnisse sowie geistiges Eigentum
- Integrität und Sicherheit der Systeme
Die abgebende Stelle ist nicht verpflichtet, eigene Systeme umzugestalten oder umfassende Interoperabilität zu schaffen, muss aber ein angemessenes, nutzbares Format bereitstellen.
Inhalt des Anspruchs
Datenformat und Interoperabilität
Die Daten sind in einem strukturierten, gängigen und maschinenlesbaren Format bereitzustellen. Üblich sind standardisierte Formate wie CSV, JSON oder XML. Das Ziel ist, eine Weiterverwendung ohne proprietäre Hürden zu ermöglichen. Eine darüber hinausgehende Pflicht zur vollständigen technischen Interoperabilität oder zur Offenlegung interner Algorithmen besteht regelmäßig nicht.
Direktübermittlung zwischen Anbietern
Neben der Aushändigung an die betroffene Person umfasst das Recht die Übertragung an einen anderen Anbieter, sofern dies technisch machbar ist. Eine Direktübermittlung setzt entsprechende Schnittstellen und Sicherheitsmaßnahmen voraus. Bei fehlender technischer Möglichkeit bleibt die Ausgabe an die betroffene Person maßgeblich.
Fristen und Entgelt
Die Bereitstellung der Daten erfolgt innerhalb einer angemessenen Frist und grundsätzlich unentgeltlich. In besonderen Konstellationen können organisatorische Anforderungen oder Komplexität den Zeitraum beeinflussen, wobei unnötige Verzögerungen zu vermeiden sind.
Verhältnis zu anderen Rechten
Auskunft
Die Auskunft dient der Transparenz über verarbeitete Daten, Zwecke und Empfänger. Datenportabilität geht darüber hinaus, indem sie die Übergabe in einem wiederverwendbaren Format verlangt. Beides kann nebeneinander bestehen.
Berichtigung
Die Berichtigung ermöglicht die Korrektur unrichtiger Daten. Portabilität berührt die Richtigkeit nicht unmittelbar, kann aber dazu beitragen, aktualisierte Daten zwischen Diensten nutzbar zu machen.
Löschung und Einschränkung
Datenportabilität führt nicht zur Löschung bei der abgebenden Stelle. Löschung und Einschränkung sind eigenständige Rechte mit eigenen Voraussetzungen.
Widerspruch
Der Widerspruch zielt auf die Beendigung bestimmter Verarbeitungen. Portabilität betrifft die Übertragbarkeit und ist unabhängig davon, ob einzelne Verarbeitungen fortgeführt werden.
Besondere Konstellationen
Minderjährige
Bei Minderjährigen gelten zusätzliche Schutzanforderungen. Abhängig von Alter und nationalen Regelungen können Einwilligungen oder Vertretungsbefugnisse eine Rolle spielen.
Beschäftigungsverhältnis
Im Arbeitsverhältnis ist eine Abwägung zwischen den Interessen der Beschäftigten an der Portabilität und den berechtigten Belangen des Arbeitgebers erforderlich, etwa hinsichtlich Geheimnisschutz und Rechten Dritter.
Gesundheits- und Finanzdaten
Sensiblen Daten kommt ein erhöhter Schutz zu. Portabilität kann hier insbesondere der Kontinuität von Leistungen dienen, unter Wahrung strenger Sicherheitsanforderungen und der Vertraulichkeit.
Öffentliche Stellen
Gegenüber öffentlichen Stellen kann die Portabilität eingeschränkt sein, wenn die Verarbeitung vorrangig der Wahrnehmung öffentlicher Aufgaben dient. Die konkrete Reichweite hängt vom jeweiligen Zweck und der Rechtsgrundlage der Verarbeitung ab.
Grenzüberschreitende Übertragungen
Bei Übermittlungen in andere Staaten sind datenschutzrechtliche Anforderungen an den Schutzstandard zu beachten. Maßgeblich ist, ob am Zielort ein angemessenes Schutzniveau gewährleistet ist oder geeignete Garantien bestehen.
Praktische Umsetzung aus Sicht der Anbieter
Identitätsprüfung und Sicherheit
Vor Herausgabe oder Übermittlung der Daten wird die Identität der anfragenden Person angemessen überprüft. Sicherheitsmaßnahmen schützen vor unbefugtem Zugriff und Datenverlust.
Formate und Standards
Die Nutzung verbreiteter, maschinenlesbarer Formate und gegebenenfalls von Schnittstellen (APIs) erleichtert die Weiterverwendung. Offene, dokumentierte Strukturen fördern die Nutzerfreundlichkeit und minimieren Hürden beim Anbieterwechsel.
Dokumentation und Transparenz
Klare Informationen über Umfang, Formate, technische Möglichkeiten der Direktübermittlung und etwaige Beschränkungen unterstützen eine nachvollziehbare Ausübung des Rechts.
Wirtschaftliche und gesellschaftliche Bedeutung
Wettbewerb und Wechselkosten
Datenportabilität kann Wechselkosten senken und Anbieterkonzentrationen entgegenwirken, indem sie den Transfer persönlich relevanter Daten erleichtert.
Innovation und Interoperabilität
Durch nutzbare Datentransfers entstehen Anreize für neue Dienste und Mehrwertangebote. Portabilität fördert, ohne Interoperabilität zu erzwingen, die Entstehung kompatibler Ökosysteme.
Datenethik und Selbstbestimmung
Die Stärkung der Verfügungsgewalt über eigene Daten unterstützt informationelle Selbstbestimmung und verantwortungsbewusste Datennutzung.
Häufig gestellte Fragen
Welche Daten fallen typischerweise unter „bereitgestellte“ Daten?
Hierzu zählen Informationen, die eine Person aktiv eingibt (z. B. Profilangaben, Inhalte, Konfigurationen) sowie beobachtete Daten, die bei der Nutzung eines Dienstes entstehen (z. B. Aktivitätsprotokolle). Nicht erfasst sind in der Regel intern abgeleitete Bewertungen oder Scores.
Umfasst Datenportabilität auch von einem Anbieter erstellte Profile?
Selbstständig erstellte oder abgeleitete Profile des Anbieters sind typischerweise nicht umfasst. Maßgeblich ist, ob es sich um personenbezogene Daten handelt, die die Person bereitgestellt hat oder die als beobachtete Nutzungsdaten entstanden sind.
Darf ein Anbieter die Übertragung verweigern?
Eine Verweigerung kommt in Betracht, wenn Rechte und Freiheiten Dritter beeinträchtigt würden, Geschäftsgeheimnisse betroffen sind, keine technische Machbarkeit der Direktübermittlung besteht oder die Identität nicht hinreichend feststeht. Die betroffene Person erhält in solchen Fällen üblicherweise eine Begründung.
Müssen Daten nach der Übertragung gelöscht werden?
Nein. Datenportabilität führt nicht zur automatischen Löschung beim ursprünglichen Anbieter. Löschung ist ein eigenständiges Recht mit eigenen Voraussetzungen.
In welchem Format müssen Daten bereitgestellt werden?
Gefordert ist ein strukturiertes, gängiges und maschinenlesbares Format, das eine Weiterverwendung ermöglicht. Weit verbreitet sind CSV, JSON oder XML, sofern sie zum Datentyp passen.
Ist eine Direktübermittlung an einen anderen Anbieter verpflichtend?
Die Direktübermittlung ist Teil des Rechts, soweit sie technisch machbar ist. Fehlt eine geeignete Schnittstelle oder bestehen Sicherheitsbedenken, erfolgt die Bereitstellung in der Regel an die betroffene Person.
Gilt das Recht auch gegenüber Behörden?
Gegenüber Behörden kann der Anspruch eingeschränkt sein, wenn die Verarbeitung überwiegend der Wahrnehmung öffentlicher Aufgaben dient. Entscheidend sind Zweck und rechtliche Grundlage der jeweiligen Verarbeitung.
