Das Recht auf Datenübertragbarkeit laut den Europäischen Aufsichtsbehörden
Kürzlich veröffentlichte der Zusammenschluss der europäischen Datenschutzaufsichtsbehörden („Art.-29-Gruppe“) ein Arbeitspapier mit Richtlinien zum neuen Recht auf Datenübertragbarkeit (auch „Datenportabilität“; Working Paper Nr. 242).
Die gestellten Anforderungen gehen an verschiedenen Stellen über die gesetzliche Nominierung hinaus, so dass Unternehmen die Vorgaben sorgfältig prüfen müssen. Dies betrifft folgende Themen:
- Das Recht auf Datenübertragbarkeit solle nicht nur für die personenbezogenen Daten gelten, die direkt auf den Betroffenen kommuniziert worden waren, sondern selbst für durch die Nutzeraktivität generierte Daten. Nicht erfasst von dem Anwendungsbereich der „bereitgestellten Daten“ sollen nur abgeleitete und schlussgefolgerte Daten sein. Dies steht im Widerspruch zu Art. 20 Abs. 1 Satz 1 Hs. 1 DSGVO, in dem ausdrücklich nur vom Betroffenen „bereitgestellte“ Daten erfasst sind. Klar ist, dass nur Daten erfasst werden, die aufgrund einer Einwilligung des Betroffenen oder zur Erfüllung eines Vertrags zwischen Verantwortlichem und Betroffenem verarbeitet werden. Daher werden zumindest alle – auch durch Nutzeraktivität generierte – Daten von dem Recht auf Datenportabilität erfasst, die direkt für die Vertragsdurchführung notwendig waren. So wird beispielsweise ein Onlinehändler Informationen zu jeder von einem Kunden früher getätigten Bestellung herausgeben müssen.
- Der Verantwortliche soll die Daten kompatibel mit anderen Datenformaten anderer Verantwortlicher bereitstellen, obwohl die Anforderung der Kompatibilität nur in einem Erwägungsgrund als unverbindliche Empfehlung enthalten ist („Interoperability“ nach ErwG 68 DSGVO). Laut Art. 20 reicht die Bereitstellung in einem allgemein gängigen Datenformat. Auch die Empfehlung, ein API zu entwickeln und bereitzustellen, sollte als freiwillige Maßnahme verstanden werden.
- Verantwortliche sollen verpflichtet sein, die übersandten Daten tatsächlich in die eigenen Systeme einzupflegen. Art. 20 DSGVO sieht allerdings keine Verwendungspflicht durch empfangende Unternehmen vor, sondern beschränkt sich auf die Versendung durch den Betroffenen/einen anderen Verantwortlichen.
Massnahmen beim Datenempfangenen Unternehmen
Das datenempfangende Unternehmen soll laut der Art.-29-Gruppe zu einer Prüfung verpflichtet sein, ob die datenschutzrechtlichen Anforderungen hinsichtlich der neu erhaltenen Daten eingehalten werden. Dazu ist insbesondere die Zweckbestimmung zu prüfen. Weiterhin müsse das empfangende Unternehmen sofort seinen Informationspflichten gegenüber dem Betroffenen nachkommen. Weiterhin müssen eventuell Dritte angeschrieben werden, deren Daten in dem vom Betroffenen übersandten Datensatz enthalten sind. Bei solchen Informationsschreiben sollten nur die relevanten Informationen weitergegeben werden und keine sonstige Werbung für das empfangende Unternehmen enthalten sein, um nicht in einen Konflikt mit § 7 Abs. 2 UWG zu geraten.
Fazit zur Datenübertragbarkeit
Abschließend weist die Art.-29-Gruppe darauf hin, dass die IT-Sicherheit gegen den Zugriff von Dritten genauso sichergestellt sein müsse, wie eine Unveränderbarkeit der Daten bei der Übertragung. Auch das Zielunternehmen müsse die IT-Maßnahmen sicherstellen.
Es kann festgehalten werden, dass das Working Paper Unterstützung bei der Umsetzung der Anforderungen der DSGVO liefert. Hier werden praktische Beispiele genannt, die weiterhelfen können. Allerdings gibt es einige Fälle, in denen u.E. die Art.-29-Gruppe über die gesetzlichen Anforderungen hinausschießt, was im weiteren Verlauf zu Streitigkeiten führen kann.