DSGVO
08 Juni 2017

Die EU-Datenschutzgrundverordnung (DSGVO) wird am 25. Mai 2018 wirksam und wird über den engen Bezug des Datenschutzes hinaus zudem gänzlich neue Rechte einführen, auf die Unternehmen sich so früh wie möglich vorbereiten sollten. Mit dem Recht auf Datenübertragbarkeit (auch „Datenportabilität“ genannt) hat der EU-Gesetzgeber ein Instrument geschaffen, das Nutzern den Wechsel zwischen Diensten verschiedener Anbieter erleichtern soll. Anbieter müssen also klären, inwieweit die entsprechenden Pflichten sie betreffen und welche Maßnahmen jetzt schon einzuleiten sind.

Das Prinzip der Datenportabilität

Betroffene Unternehmen müssen gemäß Art. 20 der DSGVO ihren Nutzern in Zukunft diejenigen Daten zur Verfügung stellen, welche die Nutzer selbst in das datenverarbeitende System eingespeist haben. Das Format der vom Unternehmen zur Verfügung gestellten Daten muss so beschaffen sein, dass der Nutzer mit den Daten entsprechende Dienste eines anderen Anbieters nutzen kann.

Diese sehr abstrakte Beschreibung des Prinzips der Datenportabilität verdeutlicht, dass es hier entgegen dem Titel der DSGVO weniger um den Datenschutz geht. Vielmehr soll die Vorschrift erreichen, dass zwischen den Nutzern und Anbietern populärer Dienste ein stärkeres Gleichgewicht entsteht. Wer sich jahrelang in einem bestimmten sozialen Netzwerk aufgehalten oder einen Streaming-Dienst genutzt hat, wird seltener geneigt sein, zu einem – möglicherweise besseren – Konkurrenzangebot zu wechseln. Im Zweifel erscheint der Aufwand zu groß, den selbst mit aufgebauten Datenschatz zurückzulassen und an anderer Stelle wieder neu anzufangen.

Um einerseits Nutzern die Auswahl zwischen verschiedenen Diensten auch nach längerer Zeit leichter zu machen und andererseits die Konkurrenz zwischen Anbietern zu beleben, hat die DSGVO das Recht auf Datenportabilität festgeschrieben. Die Reichweite dieses Rechts ist – wie die meisten Fragen in Bezug auf die DSGVO – noch nicht abschließend geklärt. Zumindest liegt seit Ende 2016 eine gemeinsame Stellungnahme der Vertreter der europäischen Datenschutzbehörden in Gestalt der sogenannten Artikel-29-Datenschutzgruppe vor, welche der Kommission beratend zur Seite steht.

Voraussetzungen nach Art. 20 DSGVO

Schlank erscheinen die Voraussetzungen, die in Art. 20 DSGVO genannt werden. Indes, je weiter man sich ihnen nähert, desto mehr schwindet die Klarheit, und eine komplexe Regelungsstruktur tritt zutage.

Art. 20 DSGVO nennt die folgenden Voraussetzungen, unter denen einem Nutzer ein Recht auf Datenübertragbarkeit zusteht:

Vorliegen personenbezogener Daten;
Grundlage der Datenverarbeitung ist eine Einwilligung des Nutzers oder ein Vertragsverhältnis mit ihm (Art. 20 Abs. 1 Buchst. a DSGVO);
die Verarbeitung erfolgt mithilfe automatisierter Verfahren (Art. 20 Abs. 1 Buchst. b DSGVO);
der Nutzer hat die in Frage kommenden Daten dem Verantwortlichen „bereitgestellt“.
Nach Auffassung der Artikel-29-Datenschutzgruppe (die jedoch weder für die Kommission noch für die Gerichte bindend ist) sind die genannten Kriterien unter anderem wie folgt zu konkretisieren:

„Bereitgestellt“ sind Daten, wenn sie vom Nutzer aktiv und wissentlich bereitgestellt werden. Damit sind direkte Eingaben des Nutzers gemeint, beispielsweise der Name und die E-Mail-Adresse im Anmeldeprozess. Erfasst sind aber auch Daten, welche unmittelbar bei der Nutzung eines Dienstes anfallen. Als Beispiele werden die Suchhistorie, Traffic- und Lokalisierungsdaten sowie Gesundheitsdaten bei der Nutzung von Fitness-Trackern genannt. Generell ist nach Auffassung der Artikel-29-Datenschutzgruppe ein weites Verständnis des Begriffs der Bereitstellung angebracht.

Der letzte Punkt dürfte, konsequent angewendet, erhebliche Auswirkungen haben. Die Nutzung von Haushalts- und anderen Geräten mit Internetanbindung („Internet of Things“, Heimautomatisierung) wird zu einem starken Anwachsen der Menge nutzergenerierter Rohdaten führen, um die es bei der Datenportabilität auch geht.

Wichtig ist dabei zugleich, dass Auswertungen oder Verarbeitungen des Verantwortlichen, die nach „Eingabe“ der Daten durch den Nutzer einen Zwischenschritt aufseiten des Verantwortlichen voraussetzen, keine „bereitgestellten“ Daten sind. Die Ergebnisse von (Big-Data-)Analysen, Scorings etc. müssen also nicht auf Grundlage des Rechts auf Datenportabilität dem Nutzer zur Verfügung gestellt werden.

Art. 20 Abs. 4 DSGVO stellt klar, dass die Übertragung der Daten nicht zulasten der Rechte Dritter gehen darf. Bei der Übertragung eines E-Mail-Kontos von einem Anbieter zum anderen oder bei Bankdaten werden in der Regel auch Daten Dritter erfasst, die selbst nicht in die Übertragung an den neuen Anbieter eingewilligt haben. In diesen Fällen gelten die allgemeinen Bestimmungen der DSGVO. Auf der Grundlage von Art. 6 Abs. 1 Buchst. f DSGVO ist etwa zu fragen, ob die Interessen des Dritten an der Nicht-Übertragung überwiegen. Die Artikel-29-Datenschutzgruppe gelangt zu dem Schluss, dies sei bei E-Mail- oder Bankdaten regelmäßig nicht zu befürchten, wenn die Daten ihrer ursprünglichen Bestimmung gemäß weiterverwendet werden. Anders wäre es zu beurteilen, wenn der neue Anbieter die Daten plötzlich zu Marketingzwecken auswertet. Auch hier wird jedoch stets der Einzelfall zu beachten und die weitere rechtliche Entwicklung zu berücksichtigen sein.

Welche Pflichten bestehen für Unternehmen?

Der Anbieter muss dem Nutzer die Daten so zur Verfügung stellen, dass diese in andere Systeme ohne wesentliche Zwischenschritte eingespeist werden können. Die Daten sollen daher „in einem strukturierten, gängigen und maschinenlesbaren Format“ vorliegen. Der Nutzer soll diese Daten auch auf eigenen Systemen speichern und auswerten bzw. weiternutzen können. Wo es technisch machbar ist, muss aber ebenfalls die direkte Datenmigration von einem Anbieter zum anderen ermöglicht werden.

Die genauen technischen Anforderungen für das Format der Daten lässt die DSGVO bewusst offen. Aufgrund der vielen unterschiedlichen Dienste wäre eine gesetzliche Regelung hier auch kaum umzusetzen. Vielmehr wird von den Anbietern erwartet, dass gemeinsame Standards erarbeitet werden, die eine Übertragbarkeit der Daten erst ermöglichen. Da hierbei ein ausreichender Vorlauf für Abstimmung und Entwicklung notwendig ist, sollten Unternehmen sich so früh wie möglich informieren, ob und inwieweit ihre Dienste unter das Recht auf Datenportabilität fallen.

Eine weitere Herausforderung wird zukünftig darin bestehen, das Recht auf Datenportabilität mit dem Recht auf Datensicherheit (Art. 5 Abs. 1 Buchst. f DSGVO) in Einklang zu bringen. Der Anbieter muss grundsätzlich dafür Sorge tragen, dass die Daten zum Beispiel gegen unbeabsichtigte Offenlegung geschützt sind. Zugleich besteht jedoch die Verpflichtung, dem Nutzer die Daten auch so zur Verfügung stellt, dass er sie auf eigenen Systemen speichern kann. Es wird zu klären sein, ob und in welchem Maß die Verantwortlichkeit für die Datensicherheit in der Folge auf den Nutzer übergeht oder ggf. der Verantwortliche aufgrund seiner besseren technischen Möglichkeiten weitergehenden Sorgfaltspflichten unterliegt.

Gelegentlich wird darauf verwiesen, es gebe zwar ein Recht auf Übertragbarkeit der Daten. Damit sei allerdings nicht gesagt, dass Anbieter die zu portierenden Daten auch an- bzw. aufnehmen müssen. Diese Argumentation wird sich jedoch kaum vor den Aufsichtsbehörden und der Rechtsprechung bewähren, da das Recht auf Datenportabilität in der Konsequenz weitgehend ins Leere liefe.

Nur in begründeten Ausnahmefällen darf der Verantwortliche eine Gebühr dafür erheben, dass er dem Nutzer die Daten zur Verfügung stellt. Der Verantwortliche müsste nachweisen, dass eine Einzelanfrage mit signifikanten Kosten verbunden ist.

Achtung Bußgelder!

Aufgrund der komplexen Rechtslage und der möglichen Notwendigkeit der Entwicklung neuer Datenformate sollten Unternehmen so früh wie möglich prüfen, welche Schritte für sie bis zur Anwendbarkeit der DSGVO am 25. Mai 2018 erforderlich sind. Zu beachten ist in diesem Zusammenhang, dass für Verstöße gegen die Pflichten aus Art. 20 DSGVO Geldbußen von bis zu 20.000.000 EUR oder bis zu 4 % des weltweiten Jahresumsatzes verhängt werden können. In beiden Fällen gilt für Unternehmen, dass das umsatzbezogene Bußgeld die Grenze von 20.000.000 EUR ohne Weiteres übersteigen kann, sofern dies zu einem höheren Bußgeld führen würde.

Comments are closed.