Rund um die DSGVO

Suche
  • Team Ernst

Anrecht auf meine Daten to go

Das Recht auf Datenübertragbarkeit („Datenportabilität“) ist ein neues Instrument der DSGVO. Der Betroffene hat das Recht, die Herausgabe seiner Daten in einem maschinenlesbaren Format oder den Transfer dieser Daten an einen Dritten zu verlangen.




Der Betroffene soll damit mehr Kontrolle über seine Daten erlangen, indem er seine Daten ohne großen Aufwand von einem Anbieter zu einem anderen „umziehen“ kann.

Wann greift das Recht auf Datenportabilität?

Die Voraussetzungen, wann ein Betroffener die Herausgabe seiner Daten verlangen kann, sind in Artikel 20 DSGVO geregelt:

Die Daten wurden direkt vom Betroffenen bereitgestellt

Von dem Recht auf Datenportabilität sind nur die Daten umfasst, die der Betroffene selbst bereitgestellt hat, beispielsweise über Bestellformulare oder in Vertragsunterlagen. In der Praxis sind hiermit also vor allem Kundenstammdaten gemeint. Darüber hinaus zählen aber auch Daten, die ein Dienst bei der Nutzung automatisch erzeugt, zu diesen Daten, wie Standortdaten, Suchhistorien oder Log-Files. Nicht darunter fallen solche Daten, die erst die Datenverarbeitung als solche erzeugt oder die auf einer Bewertung des Verantwortlichen beruhen. So fallen Bonitätsbewertungen oder die Zuordnung von Interessen oder Merkmalen, also das klassische Profiling, nicht darunter.

Datenverarbeitung aufgrund eines Vertrages oder einer Einwilligung

Das Recht auf Datenportabilität ist außerdem beschränkt auf die Daten, die aufgrund einer Einwilligung oder eines Vertrages mit dem Betroffenen verarbeitet werden. Wird die Datenverarbeitung auf einer Interessenabwägung nach Artikel 6 Absatz 1 lit. f DSGVO gestützt, sind sie nicht vom Anspruch auf Datenportabilität erfasst.

Die Daten sollen in einem strukturierten, gängigen und maschinenlesbaren Format übermittelt werden. Die gängigen Formate für Datenbanken genügen in der Regel diesen Voraussetzungen. Wenn Sie Daten in den Formaten XML oder CSV übermittelt, wird diese Anforderung also in der Regel erfüllt sein. Die Daten müssen außerdem unentgeltlich und unverzüglich bereitgestellt werden, so dass bei einer Anfrage die Daten spätestens innerhalb eines Monats bereitgestellt werden sollten.

Identitätsprüfung erforderlich

Bei einer Anfrage eines Betroffenen müssen Sie vor der Übermittlung der Daten die Identität des Betroffenen prüfen. Unterläuft hier ein Fehler und man stellt Daten einem Dritten bereit, liegt eine (meldepflichtige) Datenpanne vor. Sie sollten daher nicht erst bei begründeten Zweifeln sondern in jedem Fall die Identität des Betroffenen prüfen. Die Datenübermittlung darf außerdem nur verschlüsselt erfolgen.

Verhältnis zu anderen Betroffenenrechten

Das Recht auf Datenübertragung steht neben den weiteren Betroffenenrechten, z.B. dem Recht auf Auskunft oder Löschung. Verlangt der Betroffene, dass seine Daten bereitgestellt werden, bedeutet dies nicht automatisch, dass die Daten zu löschen sind. Das Recht auf Datenportabilität ersetzt auch nicht das Recht auf Auskunft oder Löschung, sondern ergänzt den Katalog an Betroffenenrechten.


Unser Tipp:

Sorgen Sie für eine Sicherstellung der technischen Voraussetzungen und implementieren Sie die Prozess zur Bearbeitung von Anfragen.

Möglichst mit einem Klick das Bankkonto, das E-Mail-Postfach oder den Social Media-Account von einem Anbieter zu einem anderen umziehen zu können war das Ziel dieser Regelung. Auch wenn hier andere Branchen im Fokus stehen - das Recht auf Datenportabilität müssen alle Unternehmen umsetzen. Selbst wenn Sie nur mit wenigen Anfragen rechnen, sollten Sie vorab technisch sicherstellen, dass die Daten exportiert werden können, um auf etwaige Anfragen in angemessener Zeit und ohne großen Aufwand reagieren zu können.

1 Ansicht

© 2023 by Team Ernst, die Datenschutzexperten, Rundfunkplatz 2, 80335 München