Eine Neuigkeit von ISiCO Datenschutz GmbH

Die EU-Datenschutzgrundverordnung (DSGVO) wird am 25. Mai 2018 wirksam und wird über den engen Bezug des Datenschutzes hinaus zudem gänzlich neue Rechte einführen, auf die Unternehmen sich so früh wie möglich vorbereiten sollten. Mit dem Recht auf Datenübertragbarkeit (auch „Datenportabilität“ genannt) hat der EU-Gesetzgeber ein Instrument geschaffen, das Nutzern den Wechsel zwischen Diensten verschiedener Anbieter erleichtern soll. Anbieter müssen also klären, inwieweit die entsprechenden Pflichten sie betreffen und welche Maßnahmen jetzt schon einzuleiten sind.


Das Prinzip der Datenportabilität

Betroffene Unternehmen müssen gemäß Art. 20 der DSGVO ihren Nutzern in Zukunft diejenigen Daten zur Verfügung stellen, welche die Nutzer selbst in das datenverarbeitende System eingespeist haben. Das Format der vom Unternehmen zur Verfügung gestellten Daten muss so beschaffen sein, dass der Nutzer mit den Daten entsprechende Dienste eines anderen Anbieters nutzen kann.

Diese sehr abstrakte Beschreibung des Prinzips der Datenportabilität verdeutlicht, dass es hier entgegen dem Titel der DSGVO weniger um den Datenschutz geht. Vielmehr soll die Vorschrift erreichen, dass zwischen den Nutzern und Anbietern populärer Dienste ein stärkeres Gleichgewicht entsteht. Wer sich jahrelang in einem bestimmten sozialen Netzwerk aufgehalten oder einen Streaming-Dienst genutzt hat, wird seltener geneigt sein, zu einem – möglicherweise besseren – Konkurrenzangebot zu wechseln. Im Zweifel erscheint der Aufwand zu groß, den selbst mit aufgebauten Datenschatz zurückzulassen und an anderer Stelle wieder neu anzufangen.

Um einerseits Nutzern die Auswahl zwischen verschiedenen Diensten auch nach längerer Zeit leichter zu machen und andererseits die Konkurrenz zwischen Anbietern zu beleben, hat die DSGVO das Recht auf Datenportabilität festgeschrieben. Die Reichweite dieses Rechts ist – wie die meisten Fragen in Bezug auf die DSGVO – noch nicht abschließend geklärt. Zumindest liegt seit Ende 2016 eine gemeinsame Stellungnahme der Vertreter der europäischen Datenschutzbehörden in Gestalt der sogenannten Artikel-29-Datenschutzgruppe vor, welche der Kommission beratend zur Seite steht.

Voraussetzungen nach Art. 20 DSGVO

Schlank erscheinen die Voraussetzungen, die in Art. 20 DSGVO genannt werden. Indes, je weiter man sich ihnen nähert, desto mehr schwindet die Klarheit, und eine komplexe Regelungsstruktur tritt zutage.

Art. 20 DSGVO nennt die folgenden Voraussetzungen, unter denen einem Nutzer ein Recht auf Datenübertragbarkeit zusteht:

Vorliegen personenbezogener Daten;
Grundlage der Datenverarbeitung ist eine Einwilligung des Nutzers oder ein Vertragsverhältnis mit ihm (Art. 20 Abs. 1 Buchst. a DSGVO);
die Verarbeitung erfolgt mithilfe automatisierter Verfahren (Art. 20 Abs. 1 Buchst. b DSGVO);
der Nutzer hat die in Frage kommenden Daten dem Verantwortlichen „bereitgestellt“.
Nach Auffassung der Artikel-29-Datenschutzgruppe (die jedoch weder für die Kommission noch für die Gerichte bindend ist) sind die genannten Kriterien unter anderem wie folgt zu konkretisieren:

„Bereitgestellt“ sind Daten, wenn sie vom Nutzer aktiv und wissentlich bereitgestellt werden. Damit sind direkte Eingaben des Nutzers gemeint, beispielsweise der Name und die E-Mail-Adresse im Anmeldeprozess. Erfasst sind aber auch Daten, welche unmittelbar bei der Nutzung eines Dienstes anfallen. Als Beispiele werden die Suchhistorie, Traffic- und Lokalisierungsdaten sowie Gesundheitsdaten bei der Nutzung von Fitness-Trackern genannt. Generell ist nach Auffassung der Artikel-29-Datenschutzgruppe ein weites Verständnis des Begriffs der Bereitstellung angebracht.

Der letzte Punkt dürfte, konsequent angewendet, erhebliche Auswirkungen haben.

Lesen Sie hier den gesamten Beitrag: https://www.isico-datenschutz.de/blog/2017/06/08/dsgvo-recht-auf-datenuebertragbarkeit-neue-pflichten-anbieter/