Recht auf Datenübertragbarkeit der Playlist am Handy

Datenportabilität: Die Bedeutung des Rechts auf Datenübertragbarkeit

Datenportabilität ist ein Recht, das in der digitalen Welt immer wichtiger wird. Wir erklären, was das Recht auf Datenübertragbarkeit ist und wie sich die Umsetzung in der Praxis gestaltet. 

  1. Home
  2. Wissenswertes
  3. Datenschutz Blog

2021-05-03

Logo
  • Author: Kathrin Strauß
    Ursprünglich aus dem Fotografie- & Medien-Bereich kommend, beobachtet Kathrin nun als TÜV-zertifizierte Datenschutzbeauftragte für datenschutzexperte.de alle Entwicklungen der digitalen Datenschutzwelt und macht auch schwierige juristische Sachverhalte zugänglich.

Datenportabilität ist ein sperriger Begriff, der vielen Menschen nichts sagt, jedoch ihr Recht auf informationelle Selbstbestimmung – also das Recht über die Preisgabe und Verwendung der eigenen personenbezogenen Daten selbst zu entscheiden – enorm stärkt. Hier erfahren Sie, was sich hinter diesem Begriff verbirgt und wie die Umsetzung in der Praxis aussieht.

 

Was bedeutet Datenportabilität?

Laut Art. 20 Datenschutz Grundverordnung (DSGVO) bedeutet Datenportabilität das Recht auf Datenübertragbarkeit. Der besagte Artikel sieht vor, dass personenbezogene Daten, die betroffene Personen Verantwortlichen bereitgestellt haben, in einem „strukturierten, gängigen und maschinenlesbaren Format“ beispielsweise für einen Wechsel zu einem anderen Anbieter erhalten müssen, um sie dort weiter zu verwenden.

Konkret bedeutet dies, dass ein reibungsloser Anbieterwechsel für Verbraucher:innen gewährleistet werden soll. Viele Menschen schreckten bislang davor zurück, einen Anbieterwechsel vorzunehmen, da dies oftmals mit einem erheblichen Datenverlust verbunden war. So war es bisher nicht unüblich, dass beispielsweise Internetdienste Kund:innen an sich binden wollten, indem die Bereitstellung der gesammelten Daten erschwert wurde. Dies sollte sich mit dem Recht auf Datenübertragbarkeit ändern.
 

Recht auf Datenübertragbarkeit: Beispiele aus der Praxis

Die gesetzlichen Regelungen sind eindeutig: Nutzer:innen haben seit Inkrafttreten der DSGVO ein Recht auf Datenübertragbarkeit gemäß Art. 20 DSGVO, wenn es sich um automatisierte Verarbeitung handelt, die auf einer Einwilligung oder der Durchführung eines Vertrags beruht. Beispiele aus der Praxis sind:

  • Wechsel eines Bankkontos: Um ein Bankkonto zu erstellen, braucht es umfassende Selbstauskünfte. Wollen Verbraucher:innen zu einer anderen Bank wechseln, haben sie nach Art. 20 DSGVO das Recht, alle der alten Bank bereitgestellten Auskünfte zu erhalten, um reibungslos ein Konto bei einer neuen Bank zu eröffnen. Dies spart langwierige Verifizierungsverfahren und beschleunigt den Wechsel.

  • Wechsel des Fitness-Anbieters: Bei der Nutzung von Fitnesstrackern fallen umfangreiche individuelle Fitnessprofile an, die auch bei einem Wechsel nicht verlorengehen sollen. Laut Art. 20 DSGVO muss der alte Anbieter gesammelte personenbezogene Daten wie zurückgelegte Laufstrecken und gesammelte Körperwerte bereitstellen, damit Nutzer:innen diese direkt bei dem neuen Anbieter einspeisen und ihr Profil weiterführen können.

Die Datenübertragbarkeit greift bei allen Bereichen, bei denen Nutzer:innen Ihre Daten direkt oder indirekt bereitstellen:

  • Direkt bereitgestellte Daten: Notwendige Daten, wie Name, Anschrift, Selbstauskünfte oder Bankverbindungen. Diese Daten werden von Nutzer:innen für die Vertragserfüllung angegeben.

  • Indirekt bereitgestellte Daten: Diese Daten fallen durch die Nutzung eines Onlinedienstes oder vernetzten Geräts an, wie das erwähnte Fitnessprofil, selbst erstellte Playlists oder das Fahrverhalten eines vernetzten Autos.

Wichtig: Die Telefon- oder Handynummer fällt nicht unter die Datenportabilität, da sie vom Anbieter bereitgestellt wird. Darum muss beim Telefonanbieterwechsel meist für eine Nummernmitnahme gezahlt werden.
 

Wie können Unternehmen die Regelung umsetzen?

Was bedeutet das Recht auf Datenportabilität für Unternehmen? Es gibt zwei Datenarten, die Unternehmen nicht bereitstellen müssen:

  • Daten Dritter: Daten, die Informationen Dritter beinhalten (wie z.B. die Freundesliste eines Sozialen Netzwerks) müssen nicht bereitgestellt werden. Grund: Diese Daten würden bei einer Übertragung das Recht auf informationelle Selbstbestimmung Dritter beeinträchtigen.

  • Abgeleitete Daten: Hier handelt es sich um Daten, die Unternehmen selbst aufgrund des Nutzerverhaltens erstellt haben. Da diese Daten oftmals auf firmeninternen Algorithmen und Analyseverfahren beruhen, brauchen sie nicht weitergegeben werden. Zu den abgeleiteten Daten zählen überdies auch von Nutzer:innen getätigte Bewertungen oder Informationen zu Profil-Personalisierungen.

Damit Unternehmen auf Datenübertragungs-Anfragen Betroffener vorbereitet sind, sollten sie laut der Stiftung Datenschutz wie folgt vorgehen:

  • Bedarf klären: Wie oft ist mit einer Anfrage auf Datenübertragbarkeit zu rechnen? Wer ist dafür zuständig und wie umfangreich wird es sein, einer solchen Anfrage nachzukommen? Sind viele Anfragen technisch machbar?

  • Bestand klären: Welche Daten betrifft eine solche Anfrage konkret?

  • Speicherart klären: Wo werden die Daten gespeichert? Liegen unterschiedliche Datenbestände auf verschiedenen Servern oder in verschiedenen Clouds?

  • Identität klären: Bei einer Anfrage zur Datenübertragbarkeit muss der / die Anfragende eindeutig identifiziert werden. Die Identifikation muss dokumentiert werden, damit sie bei einer ggf. stattfindenden späteren Anfrage nachgewiesen werden kann.

  • Weitergabeprozess definieren: Das Gesetzt spricht von einem „strukturierten, gängigen und maschinenlesbaren Format“, in dem die angefragten Daten bereitgestellt werden müssen. Welches Format kommt für das eigene Unternehmen in Frage?

  • Sichere Datenübertragung gewährleisten: Die Daten müssen verschlüsselt übertragen werden. Handelt es sich um eine besonders schützenswerte Art personenbezogener Daten, beispielsweise um Gesundheitsdaten, muss die Verschlüsselung entsprechend hoch sein.

Haben Sie hierzu Fragen, sollten Sie diese mit dem Datenschutzbeauftragten Ihres Unternehmens klären. Wichtig: Einer Anfrage für Datenübertragung muss innerhalb eines Monats nachgekommen werden. Wie bei allen Betroffenenrecht gelten auch hier die allgemeinen Bedingungen für das Verhängen von Bußgeldern, sollten die Rechte der Betroffenen missachtet werden.  
 

Herausforderung Datenportabilität vs. Datensparsamkeit

Wichtig zu wissen für alle, die ihr Recht auf Datenportabilität geltend machen: Der Erhalt der eigenen personenbezogenen Daten heißt nicht, dass die Daten beim alten Anbieter gelöscht werden. Dies steht theoretisch im Widerspruch zum DSGVO-Grundsatz der Datensparsamkeit, da es durch die Mitnahme der eigenen Daten von einem Anbieter zum Nächsten zu einer Vervielfältigung der Daten kommt. Daher sollte bei der Inanspruchnahme des Rechts auf Datenportabilität parallel auch das Recht auf Löschung nach Art. 17 DSGVO geltend gemacht werden. Sofern die Daten nicht mehr für die Erfüllung eines Vertrags notwendig sind, können Sie somit sicherstellen, dass Ihre Daten nur bei dem Anbieter gespeichert werden, den Sie gerade benutzen.

Ein weiterer Wermutstropfen: Die konkrete Umsetzung des Rechts auf Datenportabilität bedeutet zwar, dass Sie die gewünschten Daten elektronisch bereitgestellt bekommen müssen – nicht aber, dass Ihr neuer Anbieter dieses elektronische Format auch lesen kann. Fragen Sie daher vor der Anfrage zur Mitnahme Ihrer Daten an, welches Format für Ihren neuen Anbieter am geeignetsten ist, um einen reibungslosen Ablauf gewährleisten zu können. Alternativ können Sie den Verantwortlichen bitten, die Daten direkt an die neue verantwortliche Stelle zu übermitteln, soweit dies technisch möglich ist.

Autorin: Kathrin Strauß
Artikel veröffentlicht: 03.05.2021

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr