Neben zahlreichen Änderungen bereits bestehender Betroffenenrechte schafft die neue Datenschutzgrundverordnung (DSGVO) auch neue Rechte. So hat der Betroffene mit ihrem Inkrafttreten im Mai 2018 ein Recht auf Datenportabilität(-übertragbarkeit). Betroffene sollen nach Art. 20 DSGVO ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format herausverlangen dürfen. Alternativ ermöglicht die Vorschrift dem Betroffenen auch, die Daten durch den Verantwortlichen auf einen neuen Verantwortlichen übermitteln zu lassen. Welche Anforderungen sind an Art. 20 DSGVO zu stellen? Was haben künftig betroffene Unternehmen zu beachten? Unter dem Gesichtspunkt der nachhaltigen Datenverarbeitung und dem unkomplizierten Transfer personenbezogener Daten soll die Vorschrift einmal mehr zu einer Stärkung der Betroffenenrechte beitragen. Es sind aber auch Rechte Dritter zu beachten, die der Geltendmachung des Anspruchs entgegenstehen könnten. Ein Überblick.
Vorabinformation
Zu Beginn einer Datenverarbeitung hat der Verantwortliche den Betroffenen über seine datenschutzrechtlichen Ansprüche nach Maßgabe der Art. 13 Abs. 2 lit. b), 14 Abs. lit. c) DSGVO aufzuklären. Diese Informationspflicht umfasst auch das Recht des Betroffenen auf Datenportabilität. Die Informationspflicht hat inhaltlich klar und in deutlicher Abgrenzung zu anderen Betroffenenrechten zu erfolgen.
Was ist bei der Geltendmachung zu beachten?
Inhaltlich umfasst sich der Anspruch des Art. 20 DSGVO personenbezogene Daten – also alle Daten, die sich auf die betroffene Person beziehen, vgl. Art. 20 Abs. 1 i.V.m. Art. 4 Abs. 1 DSGVO – die der Betroffene dem Verantwortlichen zum Zwecke der Verarbeitung zur Verfügung gestellt hat. Der Anspruch erstreckt sich auch auf pseudonymisierte, nicht hingegen auf anonymisierte Daten der betroffenen Person.
Zum Schutze der in Rede stehenden personenbezogenen Daten muss es sich bei dem Anspruchsteller um den von der Verarbeitung Betroffenen handeln (vgl. Art. 4 Abs. 1 Hs. 2 DSVO). Aus Art. 11 Abs. 2 DSGVO ergibt sich, dass bei fehlender Sicherheit über die Identität des Anspruchstellers der Verantwortliche zur Herausgabe/Übermittlung nicht verpflichtet ist. Vielmehr muss der Anspruchsteller in diesen Fällen weitere Angaben beibringen, die auf seine wahre Identität schließen lassen.
Andere Rechte des Betroffenen bleiben bei der Geltendmachung unberührt. Da Art. 20 DSGVO nicht den Löschungsanspruch des Betroffenen impliziert, bleibt insbesondere das Recht aus Art. 17 DSGVO (sog. „Recht auf Vergessenwerden“) bestehen.
Formelle und materielle Anspruchsvoraussetzungen
Wie Art. 20 Abs. 1 lit. a), b) DSGVO zu entnehmen ist, muss die ursprüngliche Verarbeitung auf Grundlage einer Einwilligung oder eines Vertrages erfolgen. Nach Abs. 3 besteht der Anspruch nicht, wenn die Datenverarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Verantwortung erfolgt.
Auch materiell bestehen wichtige Einschränkungen: Abs. 4 stellt die Norm unter den Generalvorbehalt, dass die Datenportabilität Rechte und Freiheiten anderer Personen nicht beeinträchtigen darf. Dies kann sich zunächst auf entgegenstehende Rechte anderer Betroffener beziehen. Insoweit müssen die herauszugebenden oder zu übermittelnden Daten der betroffenen Person von anderen Daten stets getrennt sein. Im Übrigen gilt aber auch für die Datenportabilität der Erlaubnistatbestand des Art. 6 DSGVO, wonach die Herausgabe/Übermittlung nur rechtmäßig ist, wenn eine der dort aufgezählten Voraussetzungen erfüllt ist (etwa bei Einwilligung der Person, deren Rechte tangiert sind etc.).
Das Recht der Datenübertragbarkeit steht im Zusammenhang mit Rechten und Freiheiten Dritter außerdem immer unter dem Vorbehalt der Verhältnismäßigkeit (vgl. dazu Erwägungsgrund 4 Satz 2 der DSGVO). So können dem Anspruch auf Datenportabilität auch die Rechte des Verantwortlichen entgegenstehen, soweit die Ausübung des Rechts in unangemessener Weise in seinen Gewerbebetrieb eingreift, etwa durch Offenlegung von Geschäftsgeheimnissen.
Form der Bereitstellung
Der Anspruch des Betroffenen hat in einem gängigen maschinenlesbaren Format zu erfolgen. Was genau unter einem solchen Format zu verstehen ist, lässt der Gesetzgeber jedoch offen. Es wird im Zweifel auf den aktuellen Stand der Technik abzustellen sein. Jedenfalls sollen nach Erwägungsgrund 68 der DSGVO die Verantwortlichen dazu aufgefordert werden, interoperationale Formate zu entwickeln, welche die effiziente Datenübertragbarkeit ermöglichen und eine nachhaltige Datenwiederverwendbarkeit fördern.
Bei nicht kompatiblen Formaten des neuen Verantwortlichen kann die Übermittlung der personenbezogenen Daten mit unverhältnismäßigem Aufwand verbunden sein. In diesen Fällen steht dem Verantwortlichen die Einrede der technischen Machbarkeit zur Verfügung. An diese werden, in Anbetracht der Tatsache, dass die Übermittlung auf dessen Kosten erfolgt, keine zu hohen Anforderungen zu stellen sein. Im Zweifel werden die Daten dann den Umweg über den Betroffenen nehmen müssen.
Ausblick – Was kommt auf betroffene Unternehmen zu?
Die dem Bundesgesetzgeber bis dato fremde Vorschrift des Art. 20 DSGVO bringt für betroffene Unternehmen hauptsächlich administrative Änderungen mit sich. Wegen des erhöhten Dokumentationsaufwands sowie der vorausschauenden Planung muss das Datenschutzmanagement angepasst werden.
Die Vorschrift hat darüber hinaus Auswirkungen auf die Geschäfts- und Datenverarbeitungsprozesse der Unternehmen: So müssen Informationspflichten erweitert und Identifizierungsprozesse optimiert werden, um den neuen Anforderungen der DSGVO gerecht werden zu können.
Was das – bis jetzt noch unpräzise – gängige maschinenlesbare Format betrifft, werden in Zukunft die Ausführungen der Datenschutzverbände sowie die Leitlinien des Europäischen Datenschutzausschusses abzuwarten sein. Entscheidend ist jedenfalls, dass Datentransferprozesse durch eine einheitliche Formatierung erleichtert werden sollen.
Haben Sie Fragen? Kontaktieren Sie gerne: RA Nicole Schmidt, LL.M.
Leistung: Anwaltliche Beratung