Begriff und rechtlicher Hintergrund der Datenübertragbarkeit
Die Datenübertragbarkeit ist ein zentrales Konzept im Datenschutzrecht, das betroffenen Personen die Möglichkeit gibt, ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder diese direkt von einem Verantwortlichen an einen anderen Verantwortlichen zu übermitteln. Das Recht auf Datenübertragbarkeit ist insbesondere in der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union geregelt und stellt einen wichtigen Aspekt der Stärkung individueller Rechte im digitalen Zeitalter dar.
Rechtliche Grundlagen der Datenübertragbarkeit
Datenübertragbarkeit nach der DSGVO
Das Konzept der Datenübertragbarkeit findet sich rechtlich normiert in Art. 20 DSGVO. Nach dieser Vorschrift haben betroffene Personen das Recht, die von ihnen bereitgestellten personenbezogenen Daten von einem Verantwortlichen zu verlangen und diese einem anderen Verantwortlichen zu übermitteln. Ziel ist es, Nutzerinnen und Nutzern die Kontrolle über ihre Daten zu erleichtern und zugleich die Wechselhürden zwischen verschiedenen Diensten zu verringern.
- Gesetzestext Art. 20 Abs. 1 DSGVO:
„Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln.“
Voraussetzungen für die Ausübung des Rechts
Das Recht auf Datenübertragbarkeit besteht nach Art. 20 Abs. 1 DSGVO jedoch nur unter bestimmten Voraussetzungen:
- Die Verarbeitung basiert auf einer Einwilligung gemäß Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit. a DSGVO oder auf einem Vertrag gemäß Art. 6 Abs. 1 lit. b DSGVO.
- Die Verarbeitung erfolgt mithilfe automatisierter Verfahren.
- Das Recht gilt ausschließlich für diejenigen Daten, die die betroffene Person dem Verantwortlichen bereitgestellt hat.
Umfang und Grenzen des Rechts auf Datenübertragbarkeit
Umfasste Datenarten
Unter das Recht auf Datenübertragbarkeit fallen ausschließlich personenbezogene Daten, die direkt von der betroffenen Person bereitgestellt wurden. Dazu zählen:
- Angaben bei der Registrierung eines Online-Dienstes
- Hochgeladene oder eingegebene Inhalte (z. B. Fotos, Texte)
- Beobachtbare Daten, die durch eine aktive Handlung des Nutzers erzeugt werden (z. B. Verlauf von Kauftransaktionen)
Nicht erfasst sind dagegen solche Daten, die der Verantwortliche selbst generiert, etwa durch Analysen, Profile oder abgeleitete Informationen.
Technische Umsetzung
Die Übertragung der Daten muss in einem strukturierten, gängigen und maschinenlesbaren Format erfolgen. Hierbei kommen z.B. Formate wie CSV, XML oder JSON zum Einsatz. Die technische Realisierbarkeit und Sicherheit bei der Übertragung sind durch den Verantwortlichen sicherzustellen.
Grenzen und Ausnahmen
Das Recht auf Datenübertragbarkeit findet seine Grenzen dort, wo die Übertragung die Rechte und Freiheiten anderer Personen beeinträchtigen würde (Art. 20 Abs. 4 DSGVO). Darüber hinaus dürfen keine Geschäfts- oder Betriebsgeheimnisse beeinträchtigt werden. In der Praxis kann dadurch eine Abwägung zwischen den Interessen der betroffenen Person und denen des Verantwortlichen oder Dritter erforderlich sein.
Verhältnis zu anderen Betroffenenrechten
Abgrenzung zum Recht auf Auskunft
Das Recht auf Datenübertragbarkeit ergänzt das Recht auf Auskunft (Art. 15 DSGVO), geht aber über dieses hinaus, indem es nicht nur die Information, sondern auch die Portabilität der bereitgestellten Daten umfasst.
Unterschied zum Recht auf Löschung
Während das Recht auf Löschung („Recht auf Vergessenwerden“) die Entfernung personenbezogener Daten fordert, ermöglicht die Datenübertragbarkeit die Übertragung und Weiterverwendung der Daten bei anderen Anbietern.
Praktische Bedeutung und Anwendungsbereiche
Förderung des Wettbewerbs
Die Datenübertragbarkeit trägt zur Stärkung des Wettbewerbs zwischen digitalen Diensten bei. Durch einfache Wechselmöglichkeiten verringern sich die sogenannten „Lock-in-Effekte“, bei denen Nutzerinnen und Nutzer aus Gründen der Datenbindung bei einem bestimmten Anbieter verbleiben.
Anwendung in diversen Sektoren
Das Recht auf Datenübertragbarkeit ist für verschiedene Wirtschaftszweige relevant, darunter:
- Soziale Netzwerke
- E-Mail-Anbieter
- Cloud-Services
- Finanzdienstleister
- Telekommunikationssektor
Internationale Aspekte und nationale Umsetzung
Geltungsbereich innerhalb der EU
Die Bestimmungen der DSGVO zur Datenübertragbarkeit gelten grundsätzlich für alle Verantwortlichen mit Niederlassung in der EU sowie für außereuropäische Anbieter, soweit sie Daten von Personen in der EU verarbeiten.
Umsetzung in nationalen Gesetzen
Obwohl die DSGVO unmittelbar gilt, sind nationale Gesetze vor allem hinsichtlich der Aufsicht und Durchsetzung ergänzend relevant. Nationale Datenschutzbehörden sind für die Überwachung und Sanktionierung bei Verstößen gegen das Recht auf Datenübertragbarkeit zuständig.
Durchsetzung und Sanktionen
Die Nichtbeachtung des Rechts auf Datenübertragbarkeit kann empfindliche Sanktionen nach sich ziehen. Nach Art. 83 DSGVO sind Bußgelder von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes des Unternehmens möglich, sofern der Verstoß gegen das Betroffenenrecht als schwerwiegend eingestuft wird.
Fazit
Das Recht auf Datenübertragbarkeit stellt einen bedeutenden Fortschritt im Datenschutzrecht dar und stärkt die Selbstbestimmung sowie die Kontrolle von Personen über ihre eigenen Daten. Durch die umfassende Regelung in der DSGVO und die technischen Anforderungen zur Datenübertragung gewinnt dieses Recht zunehmend an praktischer Bedeutung, sowohl für Privatpersonen als auch für Unternehmen in der Europäischen Union.
Dieser Beitrag stellt eine umfassende Darstellung des Begriffs Datenübertragbarkeit nach geltendem europäischem Datenschutzrecht dar und beleuchtet insbesondere die rechtlichen Grundlagen, den Umfang, die Grenzen sowie die praktische und internationale Bedeutung dieses Betroffenenrechts.
Häufig gestellte Fragen
Wer hat gemäß DSGVO das Recht auf Datenübertragbarkeit?
Das Recht auf Datenübertragbarkeit steht gemäß Artikel 20 der Datenschutz-Grundverordnung (DSGVO) grundsätzlich der betroffenen Person zu. Dieses Recht erlaubt es einer betroffenen Person, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Das Recht besteht ausschließlich, wenn die Verarbeitung dieser Daten auf einer Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a DSGVO oder auf einem Vertrag gemäß Artikel 6 Absatz 1 Buchstabe b DSGVO beruht und die Verarbeitung mithilfe automatisierter Verfahren erfolgt. Das Recht gilt nicht für Daten, die von dem Verantwortlichen aufgrund eines berechtigten Interesses verarbeitet werden oder die zur Erfüllung einer rechtlichen Verpflichtung verarbeitet werden müssen. Zudem umfasst das Recht nur die personenbezogenen Daten, die die betroffene Person selbst bereitgestellt hat; daraus abzuleitende oder durch den Verantwortlichen generierte Daten sind ausgeschlossen.
Welche technischen und organisatorischen Maßnahmen müssen Verantwortliche bei der Datenübertragbarkeit ergreifen?
Verantwortliche müssen sicherstellen, dass sie personenbezogene Daten in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung stellen können, wie etwa in den Formaten CSV, XML oder JSON. Technisch bedeutet dies, dass sie geeignete Systeme und Prozesse einrichten müssen, um diesen Anforderungen gerecht zu werden. Organisatorisch müssen sie Prozesse etablieren, die eine Identitätsprüfung der anfragenden Person sicherstellen, Missbrauch verhindern und die sichere Übermittlung der Daten gewährleisten. Verantwortliche sind zudem verpflichtet, die Ausübung des Rechts auf Datenübertragbarkeit innerhalb eines Monats nach Eingang der Anfrage zu ermöglichen, was gegebenenfalls eine Anpassung der internen Prozesse und regelmäßige Schulungen des Personals erfordert. Es ist weiterhin erforderlich, technische Lösungen vorzuhalten, die den Datentransfer, insbesondere im Falle einer unmittelbaren Übertragung von Daten an einen anderen Verantwortlichen, ermöglichen, sofern dies technisch machbar ist.
Welche Daten fallen unter das Recht auf Datenübertragbarkeit?
Das Recht auf Datenübertragbarkeit umfasst ausschließlich personenbezogene Daten, die die betroffene Person dem Verantwortlichen „bereitgestellt“ hat. Darunter fallen zum einen die von der betroffenen Person aktiv eingegebenen Informationen (z.B. Name, Adresse, Kontaktdaten), aber auch Daten, die durch die Nutzung eines Dienstes anfallen (z.B. Protokoll- oder Transaktionsdaten). Nicht umfasst sind allerdings Daten, die der Verantwortliche selbst generiert oder abgeleitet hat, etwa Nutzerprofile oder bewertende Informationen, die auf Basis der bereitgestellten Daten entstanden sind. Ebenso sind auch Daten Dritter, die durch die Ausübung des Rechts auf Datenübertragbarkeit betroffen wären, grundsätzlich nicht zu übertragen, soweit ihre Rechte und Freiheiten beeinträchtigt würden.
Gibt es Ausnahmen vom Recht auf Datenübertragbarkeit?
Ja, die DSGVO sieht bestimmte Ausnahmen vor. Das Recht auf Datenübertragbarkeit findet keine Anwendung, wenn die Datenverarbeitung zur Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde (Artikel 20 Absatz 3 DSGVO). Auch ist das Recht auf Datenübertragbarkeit eingeschränkt, wenn dadurch Rechte und Freiheiten anderer Personen beeinträchtigt werden könnten. Verantwortliche dürfen bei Ausübung des Rechts keine Geschäftsgeheimnisse oder geistiges Eigentum – beispielsweise spezifische Algorithmen – offenlegen, sofern dies nicht zwingend zur Erfüllung des Antrags erforderlich ist.
Wie erfolgt die Übertragung der Daten an einen anderen Verantwortlichen?
Gemäß Artikel 20 Absatz 2 DSGVO hat die betroffene Person das Recht, zu erwirken, dass die sie betreffenden personenbezogenen Daten direkt von einem Verantwortlichen an einen anderen Verantwortlichen übertragen werden, soweit dies technisch machbar ist. Dabei ist darauf zu achten, dass der Übertragungsvorgang sicher und unter Schutz der Vertraulichkeit erfolgt. Die direkte Übertragung setzt voraus, dass beide Verantwortlichen entsprechende technische Schnittstellen anbieten und die Übertragung kompatibler Formate gewährleisten können. Ist eine direkte Übertragung technisch nicht möglich, ist der Verantwortliche verpflichtet, zumindest die Herausgabe der Daten an die betroffene Person im geforderten Format zu ermöglichen.
Können für die Ausübung des Rechts auf Datenübertragbarkeit Gebühren verlangt werden?
Grundsätzlich ist die Ausübung des Rechts auf Datenübertragbarkeit für die betroffene Person kostenlos gemäß Artikel 12 Absatz 5 Satz 1 DSGVO. Dennoch kann der Verantwortliche in begründeten Ausnahmefällen ein angemessenes Entgelt verlangen oder die Bearbeitung ablehnen – etwa wenn Anfragen offensichtlich unbegründet oder exzessiv sind. In einem solchen Fall muss der Verantwortliche jedoch nachweisen können, dass einer dieser Ausnahmefälle tatsächlich vorliegt.
Welche Fristen gelten für die Bereitstellung der übertragbaren Daten?
Die bereitstellende Stelle hat gemäß Artikel 12 Absatz 3 DSGVO den Antrag der betroffenen Person unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang des Antrags, zu bearbeiten. In begründeten Fällen, etwa bei besonders komplexen oder zahlreichen Anträgen, kann diese Frist um weitere zwei Monate verlängert werden. Die betroffene Person muss jedoch innerhalb eines Monats über die Fristverlängerung unter Angabe der Gründe informiert werden. Ein Verstoß gegen diese Fristen kann zu aufsichtsbehördlichen Maßnahmen und ggf. Bußgeldern führen.
