Die DS-GVO und das “Recht auf Datenübertragbarkeit”
Durch die Neugestaltung des Datenschutzrechts mit der Datenschutz-Grundverordnung (DS-GVO), die ab dem 25.05 2018 gilt, sind auch die Betroffenenrechte erweitert worden. Neu ist hierbei unter anderem das sog. Recht auf Datenübertragbarkeit bzw. Datenportabilität nach Art 20 DS-GVO.
Wozu überhaupt ein Recht auf Datenportabilität?
Betroffenen soll hierdurch die Kontrolle über ihre personenbezogenen Daten zurückerhalten. Das Verschieben, Kopieren oder Übertragen solcher Daten soll problemlos von einer IT -Umgebung in eine andere ermöglicht werden. So sollen Nutzer sozialer Netzwerke, von Musik-Streaming-Diensten, smarter Haushaltsgeräte oder bspw. von Wearables wie Gesundheits- und Fitnessarmbänder die einfache Möglichkeit haben, zu einem anderen Diensteanbieter wechseln zu können.
Was kann der Betroffene verlangen?
Datenübertragbarkeit bzw. Datenportabilität ist das Recht auf Herausgabe personenbezogener Daten, welche die jeweilige Person betreffen und von dieser bereitgestellt wurden. Zudem muss die Verarbeitung der Daten mit Hilfe automatisierter Verfahren erfolgt sein. Es muss sich also um solche Daten handeln, die der Betroffene im Rahmen seiner Nutzung des jeweiligen Dienstes zur Verfügung gestellt (Name, Anschrift, Alter usw.) oder erzeugt hat. Dies könnten etwa Bewegungsprofile und Gesundheitsdaten einer Fitnessapp oder auch Verkehrsdaten oder Standortdaten einer Person sein.
Betroffene können hierbei verlangen, dass ihnen diese Daten direkt selber zur Verfügung gestellt oder an einen neuen Dienstleister übermittelt werden. Hierdurch dürfen jedoch nicht die Rechte und Freiheiten anderer Personen beeinträchtigt werden.
Worauf müssen sich Unternehmen einstellen?
Anpassung der allgemeinen Informationen zur Datenverarbeitung
Unternehmen müssen grundsätzlich über die Betroffenenrechte und damit auch über das Recht auf Datenübertragbarkeit hinweisen (Art. 13 II b) DS-GVO). Dies muss zum Zeitpunkt der Datenerheben geschehen und kann bspw. im Rahmen einer Datenschutzerklärung erfolgen.
Erhalt der Daten & technische Machbarkeit
Unternehmen, von denen eine Datenübertragung gefordert wird, müssen den Datenerhalt beim Betroffenen bzw. die Übertragung an einen anderen Anbieter ohne Schwierigkeiten ermöglichen. Es reicht nicht, nur den Zugang zu den Daten zu gewährleisten.
Die DS-GVO fordert die Datenvorlage „in einem strukturierten, gängigen und maschinenlesbaren Format“, was zudem „interoperabel“ sein soll. Welche Formate genau unter diese Vorgaben fallen, wird nicht konkretisiert. Orientierung bieten dabei sicher bekannte und oft genutzte Formate (z.B. txt- oder rtf-Dateien).
Daneben müssen Unternehmen für die Bereitstellung entsprechender Programmierschnittstellen sowie weiterer Downloadwerkzeuge mit denen Anfragen zur Datenübertragung erfolgreich bewältigt werden können, sorgen.
Reaktionszeit
Unternehmen müssen einem solchen Verlangen „unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags“ nachzukommen. Je nach Komplexität und Anzahl der Anträge kann die Frist jedoch um zwei Monate verlängert werden.
Herausgabe an den Berechtigten
Eine weitere Herausforderung dürfte darin bestehen, dass die Datenübertragung auch nur an den jeweils Berechtigten erfolgt. Es ist daher sicherzustellen, dass der Anfragende auch derjenige ist, von dem die personenbezogenen Daten stammen bzw. der berechtigt ist. Hierfür können möglicherweise bereits eingerichtete Authentifizierungsverfahren genutzt werden, wie etwa ein Kundenkonto mit Nutzernamen und Passwort.
Auch ist darauf zu achten, dass durch eine Herausgabe von Daten die Rechte und Freiheiten anderer Personen nicht beeinträchtigt werden.
Sanktionen
Verstößt ein Unternehmen gegen das Betroffenenrecht der Datenübertragbarkeit, sieht die DS-GVO einen Bußgeldrahmen von 20 Mio. € bzw. 4 % des weltweiten Jahresumsatzes eines Unternehmens vor (Art. 85 Abs. 5) DS-GVO).
- Das könnte Sie ebenfalls interessieren:
Wir unterstützen Sie bei der Umstellung auf die neue Datenschutz-Grundverordnung (DSGVO und bieten Ihnen maßgeschneiderte Lösungen für Ihr Unternehmen an: Workshops, Seminare und Webinare mit dem Ziel, Ihre individuelle To-Do-Liste und Ihren Anpassungsbedarf zu erarbeiten.
