INFORMATIONEN

Die Bedeutung des Rechts auf Datenübertragbarkeit

Die Datenübertragbarkeit ist ein digitales Recht, das zunehmend an Bedeutung gewinnt. Wir definieren das Recht auf Datenübertragbarkeit und zeigen, wie es in der Praxis funktioniert.

Datenportabilität ist ein sperriger Begriff, den viele Menschen nicht verstehen, der aber ihr Recht auf informationelle Selbstbestimmung – also die Freiheit zu wählen, ob ihre persönlichen Daten offengelegt und genutzt werden – erheblich verbessert. Auf dieser Seite wird erklärt, was dieser Begriff bedeutet und wie er in der Praxis verwendet wird.

Was bedeutet der Begriff „Datenübertragbarkeit“?

Datenübertragbarkeit ist definiert als das Recht auf Datenübertragbarkeit gemäß Artikel 20 der Allgemeinen Datenschutzverordnung (DSGVO). Gemäß diesem Artikel müssen personenbezogene Daten, die von betroffenen Personen an die für die Verarbeitung Verantwortlichen übermittelt werden, in einer „strukturierten, allgemein üblichen und maschinenlesbaren Form“ aufbewahrt werden, z. B. wenn sie zu einem anderen Anbieter wechseln und dort weiter verwendet werden.

In der Praxis bedeutet dies, dass die Kunden in der Lage sein sollten, den Anbieter ohne Schwierigkeiten zu wechseln. Viele Nutzer haben in der Vergangenheit gezögert, den Anbieter zu wechseln, da dies oft mit erheblichen Datenverlusten verbunden war. Es ist nicht unüblich, dass Internetunternehmen beispielsweise versuchen, Kunden zu halten, indem sie die Herausgabe der von ihnen gesammelten Daten erschweren. Mit dem Recht auf Datenübertragbarkeit sollte sich dies ändern.

Praktische Beispiele für das Recht auf Datenübertragbarkeit

Der rechtliche Rahmen ist klar: Seit Inkrafttreten der DSGVO haben die Nutzer das Recht auf Datenübertragbarkeit gemäß Art. 20 DSGVO, wenn die automatisierte Verarbeitung auf einer Einwilligung oder der Erfüllung eines Vertrags beruht. Hier sind einige Beispiele aus der Praxis:

  • Wechsel eines Bankkontos: Für die Eröffnung eines Bankkontos ist eine umfassende Selbstauskunft erforderlich. Wenn Kunden die Bank wechseln wollen, haben sie nach Art. 20 DSGVO das Recht, alle von der vorherigen Bank bereitgestellten Informationen zu erhalten, um ein neues Konto reibungslos zu eröffnen. Dies erspart zeitaufwändige Überprüfungsverfahren und beschleunigt den Wechsel.
  • Wechsel des Fitnessanbieters: Es gibt umfangreiche individuelle Fitnessprofile, die auch bei einem Wechsel des Fitness-Trackers nicht verloren gehen dürfen. Gemäß Art. 20 DSGVO ist der bisherige Anbieter verpflichtet, erworbene personenbezogene Daten wie zurückgelegte Strecken und Körpergewichte an den neuen Anbieter zu übermitteln, damit die Nutzer diese direkt an den neuen Anbieter weitergeben und ihr Profil beibehalten können.
  • Alle Bereiche, in denen Verbraucher ihre Daten direkt oder indirekt zur Verfügung stellen, fallen unter die Datenübertragbarkeit.

  • Die Daten müssen direkt angegeben werden: Name, Adresse, Selbstauskunft und Bankverbindung sind erforderlich. Die Nutzer geben diese Informationen an, um den Vertrag abzuschließen.
  • Diese Informationen werden durch die Nutzung eines Onlinedienstes oder eines angeschlossenen Geräts gesammelt, wie z. B. das oben erwähnte Fitnessprofil, selbst erstellte Wiedergabelisten oder das Fahrverhalten eines verbundenen Autos.
  • Wichtig: Die Telefon- oder Handynummer fällt nicht unter die Datenübertragbarkeit, da sie vom Anbieter bereitgestellt wird. Deshalb müssen Sie bei einem Wechsel des Telefonanbieters fast immer für die Übertragung Ihrer Nummer bezahlen.

    Wie können Unternehmen die Regeln in die Tat umsetzen?

    Was bedeutet das Recht auf Datenübertragbarkeit für Unternehmen? Die Unternehmen sind nicht verpflichtet, zwei Kategorien von Informationen bereitzustellen:

  • Daten von Dritten: Die Weitergabe von Daten, die Informationen über Dritte enthalten (z. B. die Freundesliste eines sozialen Netzwerks), ist nicht erforderlich. Grund: Eine Weitergabe dieser Daten könnte das Recht auf informationelle Selbstbestimmung Dritter gefährden.
  • Abgeleitete Daten: Hierbei handelt es sich um Informationen, die Unternehmen auf der Grundlage von Nutzeraktivitäten zusammengestellt haben. Diese Informationen müssen nicht weitergegeben werden, da sie häufig von internen Algorithmen und analytischen Prozessen abhängen. Die Bewertungen der Nutzer und Informationen zur Profilanpassung sind ebenfalls in den resultierenden Daten enthalten.
  • Nach Ansicht der Stiftung für Datenschutz sollten Unternehmen diese Schritte einleiten, um auf Datenübertragungsanfragen von Betroffenen vorbereitet zu sein:

  • Klärung der Anforderungen: Wie häufig können Sie mit einer Anfrage zur Datenübertragbarkeit rechnen? Wer überwacht dies, und wie schwierig wird es sein, einer solchen Anfrage nachzukommen? Ist es technisch möglich, viele Anfragen zu erfüllen?
  • Auf welche konkreten Daten bezieht sich eine solche Anfrage konkret?
  • Wo befinden sich die Daten? Werden verschiedene Datenbanken auf separaten Servern oder in separaten Clouds gehostet?
  • Wenn ein Antrag auf Datenübertragbarkeit gestellt wird, muss der Antragsteller erkannt werden. Die Identifizierung muss dokumentiert werden, damit sie in Zukunft überprüft werden kann.
  • Definieren Sie den Übermittlungsprozess: Die Verordnung schreibt vor, dass die erforderlichen Daten in einer „strukturierten, gemeinsamen und maschinenlesbaren Form“ übermittelt werden müssen. Welches Format ist für Ihr Unternehmen am besten geeignet?
  • Gewährleistung einer sicheren Datenübertragung: Die Informationen müssen in einem verschlüsselten Format gesendet werden. Handelt es sich bei den zu schützenden personenbezogenen Daten um hochsensible Daten, wie z. B. Gesundheitsinformationen, muss die Verschlüsselung stark sein.
  • Wenn Sie Fragen haben, sollten Sie sich an den Datenschutzbeauftragten Ihres Unternehmens wenden, um Antworten zu erhalten. Ein wichtiger Hinweis: Ein Antrag auf Datenübermittlung muss innerhalb eines Monats gestellt werden. Die allgemeinen Bedingungen für die Verhängung von Bußgeldern, die für alle Betroffenenrechte gelten, gelten auch hier, wenn die Rechte der Betroffenen verletzt werden.

    Datenübertragbarkeit versus Datensparsamkeit

    Wichtige Information für alle, die ihr Recht auf Datenübertragbarkeit geltend machen: Der Erhalt der eigenen personenbezogenen Daten bedeutet nicht, dass diese beim bisherigen Anbieter vernichtet werden. Die Übernahme der eigenen Daten von einem Anbieter zum nächsten widerspricht theoretisch dem Grundsatz der Datensparsamkeit der DSGVO, da die Daten dupliziert werden.

    Daher sollte bei der Geltendmachung des Rechts auf Datenmobilität auch das Recht auf Löschung gemäß Artikel 17 DSGVO angegeben werden. Sie können sich vergewissern, dass Ihre Daten bei dem Anbieter, den Sie jetzt nutzen, nur dann gespeichert werden, wenn die Daten nicht mehr zur Erfüllung eines Vertrags erforderlich sind.

    DSGVO: Der Grundsatz der Rechenschaftspflicht

    Das Prinzip der Rechenschaftspflicht, ein modernes Datensicherheitsprinzip, bei dem Organisationen rechenschaftspflichtig sein und die Einhaltung der DSGVO und anderer Standards nachweisen müssen, ist eine der

    mehr »