Datenportabilität: Neue Guidelines der Art.-29-Datenschutzgruppe

Neues Betroffenenrecht: Die Art.-29-Datenschutzgruppe hat einen Leitfaden zum Recht auf Datenportabilität herausgegeben. Wir fassen die Kernaussagen zu den Pflichten, die Unternehmen treffen, zusammen.

Neuerung im Datenschutzrecht: Datenübertragbarkeit

Mit Artikel 20 der DSGVO hat der europäische Gesetzgeber ein neues Betroffenenrecht eingeführt, welches das aktuelle Datenschutzrecht so noch nicht kennt: Das Recht auf Datenübertragbarkeit, auch Datenportabilität genannt.

Dieses Recht ist nicht mit dem bekannten Auskunftsrecht gleichzusetzen, sondern als Ergänzung zu verstehen. Um den Unternehmen die Umsetzung zu erleichtern, hat die Art.-29-Datenschutzgruppe ganz aktuell Guidelines veröffentlicht.

Inhalt und Ziel: Das Recht auf Datenübertragbarkeit

Das neue Recht auf Datenübertragbarkeit garantiert dem Einzelnen den Anspruch darauf, dass:

  • einerseits seine personenbezogenen Daten an einen anderen Verantwortlichen (beispielsweise einen anderen Dienstleister) ohne Behinderung übermittelt werden können.
  • andererseits der Betroffene selbst seine personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhält.

Kein universelles Recht auf Datenportabilität

Nicht bei jedem Datenverarbeitungsprozess muss dem Recht auf Datenportabilität des Betroffenen entsprochen werden. Die DSGVO führt gerade kein generelles Recht auf Datenübertragbarkeit ein. Erforderlich ist stattdessen, dass die jeweils zugrunde liegende, automatisierte Verarbeitung:

  • entweder auf Basis einer Einwilligung oder
  • zur Durchführung eines Vertrages erfolgt.

Das ergab sich allerdings auch schon aus dem Gesetzeswortlaut und ist deshalb nicht überraschend. Es bedeutet in der Praxis, dass Unternehmen keine Übertragbarkeit solcher Daten gewährleisten müssen, die z.B. auf Basis einer Interessenabwägung verarbeitet werden. Unternehmen sollten also Sorge dafür tragen, dass sie die gesetzliche Grundlage der einzelnen Verarbeitungen festlegen und dokumentieren – was ohnehin notwendig ist, um der Informationspflicht nach Art. 13 Abs. 1 lit. c) DSGVO nachzukommen.

Ausübung der Datenübertragung und verlängerte Speicherpflichten: Keine Verantwortlichkeit des Unternehmens

Erfreulicherweise erkennt die Art.-29-Datenschutzgruppe ausdrücklich an, dass beim Umgang mit den begehrten Daten durch den Betroffenen oder einem Dritten keine datenschutzrechtliche Verantwortung des die Daten bereitstellenden Unternehmens (mehr) gegeben ist. Ferner besteht keine Verpflichtung zur weiteren Speicherung der Daten über das Kriterium der Erforderlichkeit oder anderer ausdrücklich bestimmter Speicherfristen hinaus. Demnach müssen Daten nicht nur aus dem Grund gespeichert bleiben, um Datenportabilität zu gewährleisten.

Die Ausübung: Das Recht auf Datenübertragbarkeit vs. anderer Rechte des Betroffenen

Auch im Falle der Ausübung des Rechts auf Datenübertragbarkeit kann der Betroffene weiterhin die angebotenen Dienste des Verantwortlichen in Anspruch nehmen. Insbesondere wird bloß durch das Verlangen auf Bereitstellung der Daten keine Löschungsverpflichtung des Verantwortlichen ausgelöst.

Rahmenbedingung: Reichweite der zu übertragenden Daten

Ebenso findet das Recht auf Datenportabilität dort seine Grenze, wo nicht mehr personenbezogene Daten beim Betroffenen, sondern bei Dritten generiert worden sind. Datenübertragbarkeit muss nur für Daten gewährleistet werden, die der Betroffene „bereitgestellt“ hat. Nach der Lesart der Art.-29-Datenschutzgruppe sind dies

  • Daten, die bewusst und aktiv vom Betroffenen zur Verfügung gestellt wurden; aber auch
  • Beobachtungsdaten, die aus der Nutzung des Dienstes oder des Geräts resultieren.

In letztere Kategorie fallen nach Ansicht des Gremiums z.B. die Suchhistorie sowie Verkehrs- und Standortdaten und sogar Messwerte wie z.B. die mit einem Fitnessarmband ermittelte Pulsfrequenz. Nach den Guidelines soll somit eine sehr extensive Auslegung des Portabilitätsanspruchs erfolgen. Es erscheint durchaus zweifelhaft, ob solche Datensammlungen begrifflich noch vom Terminus der „bereitgestellten“ Daten erfasst sind. Dazu sind sicherlich Auseinandersetzungen vorprogrammiert.

Begrüßenswert ist jedenfalls die Klarstellung, dass abgeleitete und durch Schlussfolgerungen erhobene Daten, die aus einer Analyse des Verhaltens des Betroffenen hervorgehen, nicht an den Betroffenen oder einen Dritten übermittelt werden müssen. Hierzu zählen etwa auf Grundlage der zur Verfügung gestellten Daten errechnete Scoring-Werte oder anderweitig abgeleitete Erkenntnisse wie etwa der Gesundheitszustand eines Betroffenen.

Darüber hinaus darf die Geltendmachung des Rechts auf Datenportabilität nicht Rechte Dritter nachteilig berühren, wobei die Art.-29-Datenschutzgruppe auch klarstellt, dass auf Grundlage einer Verletzung der Rechte Dritter etwaige Anträge nicht pauschal abgelehnt werden können. Als Beispiel wird die Übertragung von Telefon-Logs genannt, die zwangsläufig auch die personenbezogenen Daten des jeweils anderen Gesprächsteilnehmers beinhalten. In solchen Fällen seien die Daten Dritter etwa herauszugeben.

Resultierende Pflichten: Die Umsetzung im Unternehmen

Unternehmen sollten folgende Vorkehrungen treffen, um den Anspruch auf Datenübertragbarkeit umzusetzen:

  • Stellen Sie sicher, dass die Betroffenen über ihr Recht zur Datenübertragbarkeit ordnungsgemäß unterrichtet werden (Art. 13 und 14 DSGVO).
  • Implementieren Sie Mechanismen zur Identifizierung des Betroffenen (wobei eine Authentifizierung über einen passwortgeschützten User-Account in den meisten Fällen genügen wird).
  • Definieren Sie einen Zeitrahmen, in welchem Sie auf Anfragen reagieren, und teilen Sie es den Betroffenen mit.
  • Seien Sie zurückhaltend bei der Erhebung von Kosten für die Bereitstellung der Daten.
  • Wägen Sie die Herausgabe von Daten gut ab. Eine Offenlegung von Geschäftsgeheimnissen oder eine Beeinträchtigung z.B. von geistigen Eigentumsrechten ist zu vermeiden; in solchen Fallen kann aber oft ein Anspruch nur inhaltlich beschränkt, nicht aber generell ausgeschlossen werden.
  • Verwenden Sie sinnvolle und interoperable Standardformate zu Übermittlung der Daten.
  • Als Empfänger von solchen Daten sollte sichergestellt werden, dass alle Grundsätze aus Art. 5 DSGVO eingehalten werden.

Technische Umsetzung der Datenübertragbarkeit: Direkter Download, API und weitere Möglichkeiten

Das Unternehmen als datenschutzrechtlich Verantwortlicher sollte mehrere technische Möglichkeiten vorhalten, das Recht auf Datenübertragbarkeit zu gewährleisten. Die Art.-29-Datenschutzgruppe verweist in den Guidelines unter anderem auf eine direkte Download-Möglichkeit für den Betroffenen oder den Datentransfer durch eine Programmierschnittstelle wie etwa eine API.

Sie haben Fragen zu den Guidelines über Datenportabilität der Art.-29-Datenschutzgruppe? Dann nehmen Sie gerne Kontakt mit einem unserer Datenschutzexperten auf.

Marie-Luise Horst
Geposted von Marie-Luise Horst

Marie-Luise Horst ist Rechtsanwältin und Mitglied des IT- und Datenschutzrechtsteams im Hamburger Büro von Osborne Clarke. Sie befasst sich vorrangig mit Fragestellungen des deutschen und europäischen Datenschutzrechts. Sie berät vor allem führende Unternehmen in den Sektoren Industrie und Digital Business sowie innovative Start-ups.

Kommentieren

Pflichtfelder sind markiert*