Personen mit Laptop am Schreibtisch

Datenübertragbarkeit nach EU-DSGVO

Sie haben Probleme mit dem Datenschutz?
Jetzt externen Datenschutzbeauftragen beauftragen! Wir bieten maßgeschneiderte und sichere Lösungen!

Fragen Sie noch heute ein unverbindliches Beratungsgespräch an

Am 25. Mai 2018 wurde die Datenschutzgrundverordnung im Bereich der Europäischen Union bindendes Recht. Erstmalig setzt die europäische Union damit einheitliche datenschutzrechtliche Standards. Es ist erklärtes Ziel dieser Verordnung insbesondere die Rechte von Privatpersonen zu stärken. Im Zuge des Inkrafttretens der Datenschutzgrundverordnung kommen einige neue Regelungen zum Tragen, die es bisher in den nationalen Datenschutzgesetzen der einzelnen Mitgliedsländer so nicht gegeben hat. Eine dieser Neuerungen betrifft das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO.


Datenübertragbarkeit nach EU-DSGVO – was heißt das?

Mit diesem neuen Instrument soll jeder natürlichen Person die Möglichkeit gegeben werden, ihre personenbezogenen Daten von einer verantwortlichen Stelle auf eine andere übertragen zu können. Hintergrund der Datenübertragbarkeit in der DSGVO sind die Belange zum Schutz des freien Datenverkehrs personenbezogener Daten sowie die bessere Übersicht über die eigenen personenbezogenen Daten, die verarbeitet werden. Aus der Sicht des Betroffenen und Dateninhabers kann es sich also um eine sehr sinnvolle neue Regelung handeln. In der Theorie ist der Art. 20 DSGVO relativ klar gefasst. Ob sich diese Regelung in der Praxis durchsetzen lässt, wird sich erweisen müssen.

Mögliche Hindernisse bei der Datenübertragbarkeit nach EU-DSGVO

Theoretisch soll der Betroffene seine Profildaten zukünftig von einem Dienst exportieren und bei einem ähnlichen Dienst mit wenigen Klicks importieren können. Dieses Vorgehen könnte bereits rein technisch problematisch werden. Es ist fraglich, ob die entsprechenden Dienste über standardisierte Datensätze sowie entsprechend ebenso abgestimmte Schnittstellen (sogenannte APIs) verfügen. Die Umsetzung des Art. 20 DSGVO würde diese standardisierten Prozesse verlangen. Eine Vereinheitlichung der APIs ist eine heikle Angelegenheit, denn diese Programmierungen greifen erheblich in den jeweiligen Geschäftsbetrieb des Anbieters ein.

Ein weiterer Gesichtspunkt wurde bei der Schaffung der Datenübertragbarkeit nach der DSGVO eventuell nicht endgültig bedacht. Letztendlich verlangt die Vorschrift von im Wettbewerb stehenden Unternehmen, dass diese für sie sehr wertvolle Daten an die Konkurrenz abgeben. Ungewollt können sich bei der Datenübertragung auch Rückschlüsse und Einblicke auf die wirtschaftliche Situation sowie den wirtschaftlichen Hintergrund des einzelnen Unternehmens ergeben. Rechtliche Auseinandersetzungen über die Datenübertragbarkeit nach der DSGVO sind also sehr wahrscheinlich.


Wie sollen sich Unternehmen im Hinblick auf die Datenübertragbarkeit nach EU-DSGVO jetzt verhalten?

Zunächst sollten Unternehmen prüfen, ob der Gesetzgeber tatsächlich gerade ihr Unternehmen in Art. 20 DSGVO anspricht. Es geht dabei um den Verantwortlichen, der im Sinne der DSGVO personenbezogene Daten mittels automatisierter Verfahren verarbeitet. Das ist eine sehr weit gefasste Definition, obwohl der Gesetzgeber ursprünglich wohl vor allem auf Dienste wie Facebook o.Ä. ansprechen wollte. Allerdings bieten die Erwägungsgründe der Datenschutzgrundverordnung kaum Einschränkungen für die Übertragbarkeit. Nicht betroffen sind in jedem Fall aber verantwortliche Stellen, die personenbezogene Daten in Erfüllung ihrer öffentlichen Aufgaben verarbeiten.

Offensichtlich ist eine weitere Anwendung der Datenübertragbarkeits-Klausel vom Gesetzgeber durchaus beabsichtigt. Stromzähler, Suchmaschinen, Versicherungen, Banken, Businessportale, Onlineshops und sogar Fitness-Trackerseiten dürften sich hier angesprochen fühlen.

Auch lässt sich aus dem Gesetzestext und den Erwägungsgründen keine Einschränkung des Umfangs übertragener Daten herleiten. Die Regelung erfasst allgemein alle den Einzelnen betreffenden personenbezogenen Daten. Man kann sich nicht auf Profildaten wie zum Beispiel den Namen, das Alter oder den Wohnort begrenzen. Vielmehr sind nahezu alle Informationen erfasst, die dem Betroffenen in irgendeiner Form zuzuschreiben sind. Dies soll sogar Meta-und Rohdaten einbeziehen, die einen erheblichen Informationsgehalt haben, weil sie zum Beispiel Aussagen über Gesprächspartner und Standorte ermöglichen.

Die einzige inhaltliche Einschränkung ergibt sich daraus, dass der Betroffene eine Datenübertragung nur verlangen kann, wenn er die entsprechenden Daten zu Erfüllung eines Vertrages oder auf freiwilliger Basis zur Verfügung gestellt hat.

Von Gesetzes wegen kommen viele Unternehmen nicht um die Beachtung der Vorschrift herum. Dabei bleibt die Frage der Datenkomptabilität allerdings offen. Art. 20 DSGVO schreibt nur vor, dass die Daten in einem strukturierten, gängigen sowie maschinenlesbaren Format übertragen werden müssen. Welcher Standard damit gemeint ist, lässt sich hier nicht erfassen.

Allerdings werden Unternehmen in Zukunft nicht vermeiden können, Formate zu entwickeln, die eine Datenübertragbarkeit technisch überhaupt erst möglich machen. Da diese Etablierung von Standards eine gewisse Zeit in Anspruch nehmen wird, sollte jedes Unternehmen schnellstmöglich diese Möglichkeiten schaffen. Prinzipiell sind Unternehmen jetzt bereits in der Pflicht, an der Standardisierung und Entwicklung von übertragbaren Dateiformaten zu arbeiten.

 

Datenübertragbarkeit nach EU-DSGVO – viele Fragen bleiben offen

Das Thema der Datenübertragbarkeit wird sowohl natürliche Personen (Betroffene) als auch Unternehmen sowie auch Gerichte zukünftig weiter beschäftigen. Viele der Fragen sind weiterhin ungeklärt. Dazu gehört zum Beispiel auch die Frage, ob die entsprechenden Unternehmen für die tatsächliche Datenübertragung eine Gebühr verlangen dürfen. Ein großer Teil der Datenschützer lehnt diese Möglichkeit ab.

Wichtig ist, dass Sie als Unternehmen bei Entwicklungen im Bereich Datenübertragbarkeit aufgrund der DSGVO auf dem Laufenden bleiben.

Portrait von Herrn Dominik Fünkner
Unser Team

Wir stehen Ihnen zur Seite

Mit meiner fundierten Erfahrung in der operativen Unternehmensberatung helfe ich Ihnen dabei, die Vorgaben der DSGVO pragmatisch umzusetzen.

Dominik Fünkner

(zertifizierter Datenschutzbeauftragter & Geschäftsführer)


Weitere Themen, die Sie interessieren könnten

Aktuelle Beiträge zum Thema "Datenübertragbarkeit nach EU-DSGVO"

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr