Themenreihe zur DSGVO - Teil 3: Die neuen Auskunfts- und Betroffenenrechte. Im Fokus: Das Recht auf Datenübertragbarkeit

26. Februar 2018
Themenreihe zur DSGVO - Teil 3: Die neuen Auskunfts- und Betroffenenrechte. Im Fokus: Das Recht auf Datenübertragbarkeit

Neben dem Recht auf Berichtigung, Löschung, Vergessenwerden oder Widerspruch bekommen EU-Bürger mit dem Recht auf Datenübertragbarkeit (Art. 20 DSGVO) ab dem 25. Mai 2018 ein neues Rechtsinstrument, welches die Betroffenenrechte und Handlungspflichten der Verantwortlichen erweitert. Auch Online-Händler müssen die damit verbundenen Neuerungen berücksichtigen!

Die sogenannte Datenportabilität gibt der betroffenen Person nach Art. 20 Abs. 1 DSGVO die Möglichkeit, vom entsprechenden Verantwortlichen

"(...) die sie betreffenden personenbezogenen Daten, (...) in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, (mit dem) Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln (...)."

Laut Art. 20 Abs. 2 DSGVO kann der Betroffene vom Verantwortlichen auch verlangen, die Daten, zu denen beispielsweise auch die Bestellhistorie gehört, direkt an einen bestimmten Dritten weiterzugeben - ohne, dass er selbst zwischengeschaltet ist.

Die Ausübung des Rechts auf Datenübertragbarkeit durch einen Betroffenen ist allerdings nur dann möglich, wenn in die Verarbeitung der sie betreffenden personenbezogenen Daten eingewilligt wurde, diese zur Erfüllung eines Vertrags erforderlich war oder mithilfe eines automatisierten Verfahren erfolgt ist. Letzteres ist vor allem auch im E-Commerce gängig.

Wie Art. 20 Abs. 3 S. 2 DSGVO deutlich macht, ist das Recht auf Datenübertragbarkeit für solche Verarbeitungen,

"die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde"

nicht geltend zu machen.

Ziel des Rechts auf Datenübertragbarkeit ist es, die erhobenen persönlichen Daten besser überwachen und kontrollieren zu können - gerade bei automatisierten Verabeitungsprozessen. Zudem soll der Prozess der Datenübertragung in die IT-Umgebung eines Dritten vereinfacht werden. Der Betroffene soll dadurch einfacher denn je zu einem anderen Dienstanbieter wechseln und sich zwischen mehreren konkurrierenden Diensten frei entscheiden können. Dadurch soll dem sogenannten "Lock-in-Effekt", quasi dem "Eingeschlossen sein", innerhalb eines einmal gewählten Dienstes entgegengewirkt werden.

Checkliste: Was Sie hierzu beachten sollten

  • Zunächst sollten Sie Webseitenbesucher auf das Recht der Datenübertragbarkeit hinweisen (Art. 13 II b) DSGVO) und zwar schon vor einer etwaigen Datenerhebung und -verarbeitung. Das kann beispielsweise im Rahmen der Datenschutzerklärung erfolgen.
  • Wenn von Ihnen eine Datenübertragung verlang wird, müssen Sie den Datenerhalt bzw. die Übermittlung an einen anderen Dienstanbieter problemlos gewährleisten können. Eine alleinige Zugangsbereitstellung ist nicht ausreichend.
  • Zudem müssen Sie entsprechende interoperable Formate entwickeln und einrichten, um eine reibungslose Datenübertragung sicherstellen zu können.
  • Sie müssen Ihrer Pflicht zur Datenübermittlung unverzüglich, in jedem Fall aber innerhalb eines Monats, nachkommen.
  • Wichtig ist, dass die Datenübertragung auch nur an den berechtigten Betroffenen erfolgt. Sie müssen daher sicherstellen, dass es sich bei der anfragenden Person auch wirklich um denjenigen handelt, von welchem die personenbezogenen Daten kommen. Das gelingt Ihnen beispielsweise durch eine Authentifizierung mittels Kundenkonto.

Fazit

Wir können also festhalten: Das Recht auf Datenübertragbarkeit soll die Betroffenenrechte stärken, den Wettbewerb fördern und sogenannte "Lock-in-Effekte" reduzieren. Was in der Theorie so einfach klingt, bringt in der praktischen Umsetzung einige Herausforderungen mit sich, wie zum Beispiel die Entwicklung entsprechender Schnittstellen (APIs) und interoperabler Formate (vgl. Erwägungsgrund 68).

Als Online-Händler sollten Sie sich in jedem Fall auf die neuen Betroffenenrechte einstellen und sicherstellen, dass Sie die verlangten Daten in entsprechender Art und Weise zur Übermittlung an den Betroffenen oder einen Dritten im Fall der Fälle bereitstellen können. Die obenstehende Checkliste soll Ihnen dabei als Anhaltspunkt dienen. Da es bezüglich der Datenportabilität bisher keine Regelung gab und Erfahrungswerte demnach ausbleiben, bleibt abzuwarten, wie der Mechanismus in der Praxis funktionieren wird.

Übrigens: Die Stiftung Datenschutz hat mit Unterstützung des Bundesinnenministeriums ein Projekt entwickelt, das mögliche Wege zur praktischen Umsetzung des Rechts auf Datenübertragbarkeit aufzeigt. Mehr Informationen dazu finden Sie hier.

An dieser Stelle möchten wir Sie außerdem darauf aufmerksam machen, dass dies keine rechtliche Beratung ist. Vielmehr möchten wir Sie mit diesem Artikel informieren. Für notwendige Handlungsmaßnahmen Ihrerseits konsultieren Sie am besten eine Rechtsberatung.