Begriff und Allgemeine Definition der Datenportabilität
Der Begriff Datenportabilität beschreibt das Recht von Personen, ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format von einem Verantwortlichen zu erhalten und diese Daten einem anderen Verantwortlichen zu übermitteln. Dieses Recht ist insbesondere im Kontext der Digitalisierung und steigenden Relevanz von Cloud-Diensten und Plattformangeboten von erheblicher Bedeutung und ermöglicht betroffenen Personen eine größere Kontrolle über ihre eigenen Daten sowie einen erleichterten Wechsel zwischen Dienstanbietern.
Rechtsgrundlagen der Datenportabilität
Datenschutz-Grundverordnung (DSGVO)
Die wichtigste rechtliche Grundlage für das Recht auf Datenportabilität findet sich in der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union. Gemäß Art. 20 DSGVO steht betroffenen Personen das Recht auf Datenportabilität hinsichtlich der sie betreffenden personenbezogenen Daten zu, die sie einem Verantwortlichen bereitgestellt haben.
Voraussetzungen für die Datenportabilität nach Art. 20 DSGVO
- Bereitstellung der Daten: Das Recht umfasst nur personenbezogene Daten, die von der betroffenen Person selbst bereitgestellt wurden, einschließlich aktiv übermittelter und passiv generierter Daten (z. B. Gerätedaten, Protokolldaten).
- Verarbeitung auf Grundlage von Einwilligung oder Vertrag: Das Recht setzt voraus, dass die Verarbeitung der Daten auf einer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) oder auf einem Vertrag (Art. 6 Abs. 1 lit. b DSGVO) beruht.
- Verarbeitung mithilfe automatisierter Verfahren: Handelt es sich um manuelle Datenverarbeitung, besteht kein Anspruch auf Datenübertragbarkeit.
Umfang und Grenzen
Das Recht umfasst:
- Die direkte Übermittlung der Daten an einen anderen Verantwortlichen, sofern dies technisch machbar ist.
- Das Recht, eine Kopie der betreffenden Daten in einem gängigen, maschinenlesbaren Format zu erhalten.
Grenzen bestehen dort, wo Rechte oder Freiheiten anderer Personen beeinträchtigt würden, insbesondere im Bereich geistigen Eigentums, Geschäftsgeheimnisse oder Datenschutzrechte Dritter.
Anwendungsbereich der Datenportabilität
Personenbezogene Daten
Die Datenportabilität bezieht sich ausschließlich auf personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO, also Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Nicht erfasste Daten
Das Recht gilt nicht für:
- Vom Verantwortlichen selbst abgeleitete oder generierte Daten, soweit diese nicht auf einer Bereitstellung durch die betroffene Person beruhen (z. B. Profilbildung, Scoring-Ergebnisse).
- Anonymisierte Daten, da diese nicht mehr einer natürlichen Person zugeordnet werden können.
Verantwortliche und Auftragsverarbeiter
Die Datenportabilität verpflichtet in erster Linie den Verantwortlichen, also die Stelle, die über Zweck und Mittel der Verarbeitung personenbezogener Daten entscheidet. Auftragsverarbeiter sind unterstützende Dienstleister, deren Aufgaben im Wege des Art. 28 DSGVO klar geregelt sind.
Technische und organisatorische Anforderungen
Ausgestaltung des Datenübertragungsprozesses
Verantwortliche müssen geeignete technische und organisatorische Maßnahmen ergreifen, um eine sichere und reibungslose Übertragung der personenbezogenen Daten zu gewährleisten. Dazu zählen:
- Verwendung sicherer Übertragungsprotokolle
- Bereitstellung der Daten in Formaten wie CSV, XML, JSON o. Ä.
- Gewährleistung der Interoperabilität zwischen verschiedenen Systemen
Sicherheit und Datenschutz
Der Schutz der Daten während des gesamten Übertragungsprozesses genießt hohe Priorität. Dazu gehört die Verschlüsselung der Datenübertragung sowie wirksame Authentisierungsverfahren, um unberechtigte Zugriffe auszuschließen.
Abgrenzung zu anderen Betroffenenrechten
Unterschied zu Auskunftsrecht und Löschungsrecht
Das Auskunftsrecht (Art. 15 DSGVO) gewährt eine umfassende Einsicht in sämtliche verarbeitete personenbezogene Daten, während das Recht auf Löschung (Art. 17 DSGVO) die dauerhafte Entfernung dieser Daten aus den Systemen fordert. Das Recht auf Datenportabilität unterscheidet sich dahingehend, dass es ausschließlich auf die Übertragung der Daten an die betroffene Person oder einen Dritten abzielt.
Durchsetzung und Rechtsfolgen
Geltendmachung des Rechts
Die betroffene Person kann das Recht auf Datenportabilität jederzeit gegenüber dem Verantwortlichen geltend machen. Der Verantwortliche ist verpflichtet, innerhalb eines Monats ab Antrag die Übertragung der Daten vorzunehmen oder eine begründete Ablehnung auszusprechen. Diese Frist kann bei komplexen Anträgen um zwei weitere Monate verlängert werden.
Sanktionen und Beschwerdemöglichkeiten
Im Falle der Nichterfüllung des Rechts auf Datenportabilität drohen dem Verantwortlichen Bußgelder gemäß Art. 83 DSGVO. Die betroffene Person kann darüber hinaus Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde einlegen oder den Rechtsweg beschreiten.
Praxisbeispiele und Anwendungsfelder
Digitale Plattformen und Social Media
Ein besonders relevantes Anwendungsfeld stellen soziale Netzwerke und Cloud-Dienste dar, bei denen Nutzer persönliche Dateien, Beiträge oder Kontakte exportieren und zu anderen Diensten übertragen möchten.
Finanz- und Telekommunikationssektor
Auch im Bankwesen und bei Telekommunikationsanbietern kommt das Recht auf Datenportabilität verstärkt zur Anwendung, um einen Wechsel von Dienstleistern zu erleichtern.
Bedeutung und Entwicklungsperspektiven
Die Datenportabilität fördert den Wettbewerb zwischen Anbietern digitaler Dienstleistungen und stärkt die Selbstbestimmung der betroffenen Person über ihre Daten. Gleichzeitig werden Innovation und Interoperabilität durch den erleichterten Datenfluss zwischen verschiedenen Plattformen begünstigt. Zukünftige rechtliche und technische Entwicklungen im Bereich der Datenportabilität sind zu erwarten, insbesondere durch Initiativen wie den Data Act der EU.
Weblinks und weiterführende Informationen
- Datenschutz-Grundverordnung (DSGVO), Art. 20
- Europäischer Datenschutzausschuss: Leitlinien zur Datenübertragbarkeit
- Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Hinweis: Dieser Artikel vermittelt einen umfassenden Überblick über die rechtlichen Aspekte der Datenportabilität und erhebt keinen Anspruch auf Vollständigkeit oder tagesaktuelle Gesetzeslage.
Häufig gestellte Fragen
Wer kann das Recht auf Datenportabilität geltend machen und gibt es Ausnahmen?
Das Recht auf Datenportabilität nach Art. 20 DSGVO steht grundsätzlich jeder betroffenen Person zu, deren personenbezogenen Daten von einem Verantwortlichen auf Grundlage einer Einwilligung oder zur Erfüllung eines Vertrags automatisiert verarbeitet werden. Wesentlich ist, dass die betroffene Person die Daten „bereitgestellt“ hat, was vor allem Angaben umfasst, die sie selbst aktiv und bewusst eingegeben hat, sowie aus der Nutzung eines Dienstes generierte Daten, wenn diese identifizierbar mit der Person verknüpft sind. Ausgenommen vom Recht auf Datenportabilität sind insbesondere Daten, die durch den Verantwortlichen im Rahmen eigener Analysen oder Bewertungen geschaffen wurden (z.B. algorithmisch erzeugte Profile). Das Recht gilt nicht, wenn die Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt erfolgt. Ferner sind rein manuell verarbeitete Daten nicht umfasst; das Gesetz spricht explizit von einer „automatisierten Verarbeitung“. Eine weitere Einschränkung besteht, wenn durch die Übertragung Rechte und Freiheiten anderer Personen beeinträchtigt würden.
Wie ist der Ablauf der Geltendmachung des Rechts auf Datenportabilität geregelt?
Die betroffene Person kann mit einem Antrag – formlos, mündlich oder schriftlich – bei dem verantwortlichen Unternehmen oder der öffentlichen Stelle ihr Recht auf Datenportabilität geltend machen. Der Verantwortliche muss daraufhin unverzüglich, spätestens aber innerhalb eines Monats nach Eingang des Antrags, die personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung stellen oder – sofern technisch möglich – diese direkt an einen anderen Verantwortlichen übermitteln. In Ausnahmefällen kann die Frist um zwei weitere Monate verlängert werden, muss dann aber klar mit Begründung kommuniziert werden. Die Erfüllung des Antrags darf grundsätzlich unentgeltlich erfolgen. Nur bei exzessiven oder offensichtlich unbegründeten Anträgen kann ein angemessenes Entgelt verlangt werden oder der Antrag abgelehnt werden, wobei die Begründungspflicht besteht. Technische Hürden oder hohe Kosten für die Datenübertragung entbinden den Verantwortlichen nicht automatisch von der Pflicht, das Recht zu erfüllen.
Welche technischen Formate und Übertragungswege sind für die Datenportabilität vorgeschrieben?
Die DSGVO fordert, dass die Daten in einem „strukturierten, gängigen und maschinenlesbaren Format“ bereitgestellt werden. Damit sind Formate gemeint, die eine einfache und sichere Wiederverwendung ermöglichen, beispielsweise CSV, XML oder JSON. Es gibt allerdings keine abschließende gesetzliche Vorgabe für spezifische Dateitypen oder Übertragungsprotokolle, weshalb der Verantwortliche verantwortungsbewusst auf branchenübliche und interoperable Lösungen zurückgreifen muss. Ziel ist eine möglichst reibungslose Weitergabe an einen neuen Dienstanbieter. Werden die Daten direkt an einen neuen Verantwortlichen übermittelt, ist darauf zu achten, dass die Übertragung unter Berücksichtigung des aktuellen Standes der Technik abgesichert erfolgt, um die Vertraulichkeit und Integrität der Daten zu gewährleisten (z.B. durch Verschlüsselung oder gesicherte Protokolle).
Welche rechtlichen Grenzen gibt es bei der Übertragung personenbezogener Daten an Dritte?
Die Übertragung von Daten im Rahmen der Datenportabilität darf nicht die Rechte und Freiheiten anderer Personen beeinträchtigen. Das betrifft insbesondere den Schutz personenbezogener Daten Dritter, etwa wenn in Korrespondenzen nicht nur die betroffene Person, sondern auch weitere Personen genannt sind. In solchen Fällen muss der Verantwortliche diese Daten gegebenenfalls anonymisieren oder teilweise zurückhalten. Zudem dürfen Geschäftsgeheimnisse, Urheberrechte oder andere geistige Eigentumsrechte nicht verletzt werden. Eine Abwägung zwischen den Interessen der betroffenen Person und den Rechten Dritter ist verpflichtend vorzunehmen und kann im Ergebnis dazu führen, dass nicht der komplette Datensatz übertragen werden kann.
Welche Pflichten treffen den Verantwortlichen hinsichtlich der Information und Dokumentation im Rahmen der Datenportabilität?
Verantwortliche müssen die betroffenen Personen deutlich über ihr Recht auf Datenportabilität informieren, beispielsweise in Datenschutzerklärungen. Sie sind zudem verpflichtet, alle Schritte im Zusammenhang mit der Erfüllung oder Ablehnung eines Auskunfts- oder Datenübertragungsantrags zu dokumentieren. Dazu gehören insbesondere die Identifizierung des Antragstellers, Bearbeitungsfristen, durchgeführte Maßnahmen sowie die Gründe für etwaige Ablehnungen oder Einschränkungen. Bei der Ablehnung muss nachvollziehbar erläutert werden, ob und inwieweit die gesetzlichen Voraussetzungen für das Recht auf Datenportabilität nicht erfüllt sind (z.B. keine automatisierte Verarbeitung, Gefahr für Rechte Dritter).
Wie verhält sich das Recht auf Datenportabilität zur Löschung oder Berichtigung von Daten?
Das Recht auf Datenportabilität ist unabhängig von den Rechten auf Berichtigung (Art. 16 DSGVO) oder Löschung („Recht auf Vergessenwerden“ nach Art. 17 DSGVO). Es erlaubt der betroffenen Person lediglich, ihre bereitgestellten Daten zu erhalten oder an einen anderen Verantwortlichen zu übertragen. Eine Übertragung bewirkt jedoch weder eine automatische Löschung der Daten beim ursprünglichen Anbieter, noch eine vollständige Übernahme von Korrekturen oder Einschränkungen, die im Nachgang an die Übermittlung geltend gemacht werden. Anträge auf Berichtigung oder Löschung müssen eigenständig und separat gestellt werden. Der Verantwortliche bleibt zudem – unabhängig von einer Datenübertragung – weiterhin verpflichtet, etwaigen Aufbewahrungs- und Löschpflichten nachzukommen.
Welche Sanktionen drohen bei Verstößen gegen die Regelungen zur Datenportabilität?
Verstöße gegen das Recht auf Datenportabilität können gemäß Art. 83 DSGVO mit erheblichen Geldbußen geahndet werden. Die Obergrenze liegt hier bei bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist. Von der zuständigen Datenschutzaufsichtsbehörde können zudem aufsichtsrechtliche Maßnahmen ergehen, etwa die Untersagung bestimmter Verarbeitungsprozesse oder die Anweisung zur Erfüllung entsprechender Betroffenenanträge. Daneben bleibt betroffenen Personen der Weg zu zivilrechtlichen Schadensersatzansprüchen offen, wenn ihnen durch die Verweigerung oder fehlerhafte Umsetzung der Datenportabilität ein materieller oder immaterieller Schaden entstanden ist.
