Update Datenschutz Nr. 28
Art. 20 DSGVO – Recht auf Datenübertragbarkeit
Das in Art. 20 DSGVO geregelte Recht auf Datenübertragbarkeit – oder auch Datenportabilität genannt – gilt ab dem 25. Mai 2018 unmittelbar in jedem Mitgliedstaat der EU und stellt eine (Welt) Neuheit in Bezug auf die Betroffenenrechte dar. Die an sich gut gemeinte Idee soll der Stärkung der „Datensouveränität“ dienen: Wenn es möglich ist, gegenüber großen Social-Media-Anbietern eine Herausgabe des eigenen Social-Media-Accounts in einem „gängigen Format“ zu verlangen, stärkt dies die Möglichkeit des Einzelnen, von einem Anbieter zu einem anderen Anbieter (von dem man sich eventuell einen datenschonenderen Umgang erhofft) zu wechseln. Die Kehrseite dieser gut gemeinten Idee des europäischen Gesetzgebers führt zu einem teilweise unlösbaren Aufwand bei vielen Unternehmen. Denn wenn die verwendete Software nicht die Möglichkeit vorsieht, alle relevanten Daten in einem gängigen Format zu exportieren – was Stand heute bei vielen Softwareprodukten der Fall ist – können Unternehmen den Export der Daten in einem gängigen Format höchstens durch aufwendige teilmanuelle Arbeitsschritte realisieren. Da ein Verstoß gegen Art. 20 DSGVO mit dem Maximalbußgeld von bis zu 20 Mio. EUR oder 4% des weltweiten Jahresumsatzes sanktioniert werden kann, werden Unternehmen um diesen Aufwand in Einzelfällen nicht herumkommen.
Datenschutzrechtlicher Herausgabeanspruch – Die „Stärkung der Datensouveränität“ als Zumutung für Unternehmen
Art. 20 DSGVO gewährt betroffenen Personen einen Anspruch auf Herausgabe von Daten, die sie einem Verantwortlichen zur Verfügung gestellt haben. Konkret erfasst Art. 20 DSGVO beispielsweise solche Situationen, in denen der Betroffene einen Anbieterwechsel ohne großen Aufwand und Verlust von Daten durchführen möchte und somit ein Wahlrecht im Hinblick auf die Zurverfügungstellung der Daten ausüben kann. Möchte also ein Betroffener sein Profil bei einem sozialen Netzwerk zu einem anderen „verlegen“ oder das alte E-Mail-Konto bei einem anderen Anbieter in Betrieb nehmen, ermöglicht das Recht auf Datenübertragbarkeit – theoretisch – einen reibungslosen „Umzug“. Um dies zu ermöglichen, müssen die Daten gemäß Art 20. DSGVO in einem „strukturierten, gängigen und maschinenlesbaren Format“ an den Betroffenen übermittelt werden.
Direkte Datenübermittlung zwischen Verantwortlichen
Alternativ kann auch die Herausgabe der Daten an einen Dritten (z.B. an einen Wettbewerber) verlangt werden. Art. 20 Abs. 2 DSGVO formuliert ausdrücklich das Recht des Betroffenen auf Herausgabe seiner personenbezogenen Daten, indem eine Direktübermittlung unmittelbar zwischen den Verantwortlichen ermöglicht wird, sofern die technischen Voraussetzungen dafür gegeben sind.
„Bereitstellung“ personenbezogener Daten als Voraussetzung
Art. 20 DSGVO ist allerdings nur auf personenbezogene Daten anwendbar, die ein Betroffener “bereitgestellt“ hat. In dem Begriff des „Bereitstellens“ liegt die zentrale Begrenzung des Anwendungsbereiches der Vorschrift. Art. 20 bezieht sich also nicht auf jedes Datum, das ein Verantwortlicher im Hinblick auf eine betroffene Person „besitzt“.
Unklar ist allerdings, ob nur personenbezogene Daten erfasst werden, die aktiv und bewusst dem Verantwortlichen bereitgestellt werden. Aktiv und bewusst übermittelte Daten können beispielsweise E-Mail-Adressen, Altersangaben, Posts und andere Social-Media-Beiträge oder der Username sein. Teilweise haben Datenschutzaufsichtsbehörden aber bereits die Ansicht geäußert, dass auch die „unbewusst bereitgestellten Daten“, also etwa das Nutzerverhalten, dass auf einer Webseite analysiert wird, die von einem Fitness-Tracker erhobenen Gesundheitsdaten oder „nebenher“ erhobene Standortdaten erfasst werden. Eine Klärung dieser Rechtslage wird in Zukunft nur durch die Rechtsprechung erfolgen können.
Das Recht auf Datenübertragbarkeit gilt nicht uneingeschränkt - Argumentationsansätze zur Entlastung der Unternehmen?
Das Recht auf Datenübertragbarkeit wird durch Art. 20 Abs. 3 und 4 DSGVO beschränkt. Absatz 4 schließt das Recht auf Datenübertragbarkeit für den Fall aus, in dem Rechte und Freiheiten anderer Personen beeinträchtigt werden. Insoweit können auch Rechte des zur Datenübermittlung verpflichteten Verantwortlichen berücksichtigt werden, wie beispielsweise sein geistiges Eigentum oder Geschäftsgeheimnisse. Zudem dürfen die personenbezogenen Daten Dritter nicht mitübertragen werden. Dies führt allerdings im Ergebnis nicht zu weniger Aufwand bei den Unternehmen, sondern zwingt zu einer sorgfältigen Durchsicht der zu übergebenden Datensätze auf Hinweise auf Daten Dritter.
Fazit – der Flaschenhals ist zumeist die Software
Der Flaschenhals, der eine einfache Umsetzung des Rechts auf Datenportabilität in der Praxis verhindert, dürfte zumeist die jeweilige Software sein, die keine Exportfunktion vorsieht. Wenn Exportfunktionen bestehen, können diese nur in seltenen Fällen so flexibel konfiguriert werden, dass – je nach Ansicht der Behörde zum Umfang des Herausgabeanspruch – mehr oder weniger Daten ausgewählt und in ein „gängiges“ Format überführt werden können, zumal für viele Praxisfälle schlichtweg kein gängiges Format existiert.
Auch wenn hier überdeutlich wird, dass diese Regel aus dem „Elfenbeinturm“ des europäischen Gesetzgebers in der Praxis auf eine lange gewachsene Softwarelandschaft trifft, die bislang kaum pragmatische, vollautomatisierte Lösungen zur Datenportabilität bereitstellt, darf dies kein Grund sein, die Regelung zu ignorieren. Immerhin kann sich eine Datenschutzaufsichtsbehörde auf den Standpunkt stellen, dass die zweijährige Umsetzungsfrist hätte genutzt werden können, um die Umsetzungsprobleme anzugehen. In diesem Sinne sollte die eigene Unternehmenssoftware darauf überprüft werden, ob ein Datenexport möglich ist. Wo dies nicht der Fall ist, sollten eigene Programmierer oder der externe Anbieter der Software schnell damit beginnen, pragmatische Lösungen zu suchen.