Mit Inkrafttreten der DSGVO im Mai 2018 wird der Kreis der Betroffenenrechte um das Recht auf Datenübertragbarkeit gemäß Art. 20 DSGVO erweitert (wir berichteten). Dieses dem Datenschutzrecht bisher unbekannte Instrument soll die Rechte der betroffenen Personen stärken, stellt jedoch gleichzeitig die Verantwortlichen vor neue Herausforderungen.
Was wir bisher wissen:
Ursprünglich war die Intention des Gesetzgebers bei Einführung des Rechts auf Datenübertragbarkeit einen Wechsel bei Social-Media-Anbietern wie Facebook und Twitter zu vereinfachen. Zwischenzeitlich ist jedoch klar, dass sich dieses Recht auch auf andere Anbieter, wie bspw. Hersteller von Wearables, Online-Shops etc. bezieht.
Ziel des neuen Rechts soll es sein, den betroffenen Personen mehr Kontrolle über ihre Daten zu ermöglichen und europaweit für mehr Datensouveränität zu sorgen. Gleichzeitig soll der Wettbewerb zwischen den Verantwortlichen gestärkt und ein sog. Lock-in-Effekt verhindert werden, indem ein Wechsel zu einem neuen Anbieter erleichtert wird.
Die betroffene Person hat hierbei die Wahl: Art. 20 Abs. 1 DSGVO sieht zum einen die Möglichkeit vor, dass der (alte) Anbieter die Daten an die betroffene Person übermittelt (Herausgabeanspruch) und diese wiederum die Daten selbst an den neuen Anbieter weiterleitet (indirekter Übermittlungsanspruch). Falls die betroffene Person wünscht, dass die Daten vom alten Anbieter direkt an den neuen Anbieter übermittelt werden sollen, so ist auch dies gemäß Art. 20 Abs. 2 DSGVO möglich (direkter Übermittlungsanspruch). Einigkeit besteht insoweit, als dass insbesondere bei der Übermittlung an einen neuen Anbieter ein Authentifizierungsverfahren eingeführt werden müsse, damit ein Identitätsnachweis möglich ist.
Dabei hat Art. 20 DSGVO nicht zur Folge, dass der bisher Verantwortliche die Daten löschen muss. Vielmehr bleibt der Löschungsanspruch nach Art. 17 DSGVO hiervon unberührt, was sich aus Art. 20 Abs. 3 Satz 1 DSGVO ergibt. So wird sichergestellt, dass der (alte) Verantwortliche etwaige Aufbewahrungspflichten wahren kann. Wie die Stiftung Datenschutz in ihrem Papier „Praktische Umsetzung des Rechts auf Datenübertragbarkeit – Rechtliche, technische und verbraucherbezogene Implikationen“ erkennt, erhält die betroffene Person bzw. der neue Anbieter/Verantwortliche demzufolge lediglich eine Kopie ihrer Daten. Dass dies zu einer Vervielfältigung von Datensätzen führt und dadurch Datenschutzrisiken gesteigert werden, wird dabei seitens des Gesetzgebers hingenommen.
Gemäß Art. 20 Abs. 1 DSGVO hat die betroffene Person die Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Dies bedeutet, dass das Format derart gestaltet werden muss, dass die betroffene Person bzw. der neue Anbieter auch die Möglichkeit haben muss, an ihre Daten zu gelangen. Daher sollte ein Format, das häufig genutzt wird und allgemein bekannt ist, eingesetzt werden.
Darüber hinaus ergibt sich aus dem Erwägungsgrund 68, dass das Format auch die Eigenschaft der Interoperabilität erfüllen muss. Darunter versteht man, dass das Format die Fähigkeit haben muss, mit unterschiedlichen Systemen, möglichst nahtlos zusammenzuarbeiten. Nur so kann gewährleistet werden, dass die Daten auch an die betroffene Person bzw. an den (neuen) Verantwortlichen in ein eigenes Format/System übertragen werden können. Hierzu zählen bspw. die Formate XML, JSON und CSV.
Was für Verunsicherung sorgt:
Der Katalog an klärungsbedürftigen Fragen überwiegt dennoch den der bereits geklärten. Diverse Organisationen und Institutionen – u.a. auch die Stiftung Datenschutz – fordern Hilfestellungen bei der Auslegung von Art. 20 DSGVO durch die nationalen Aufsichtsbehörden.
Was ist unter „bereitgestellt“ zu verstehen?
So ist zunächst fraglich, welche Daten von Art. 20 DSGVO erfasst sind, denn es sollen nur solche darunter subsumiert werden können, die von der betroffenen Person „bereitgestellt“ wurden. Unstreitig fallen hierunter solche Daten, die der Nutzer aktiv und willentlich eingegeben hat (bspw. Name, Gewicht, Größe, Kontodaten, Social-Media-Posts). Ob daneben auch Daten erfasst sind, die durch die Nutzung des Dienstes entstehen (Fitnessprofil, Kaufhistorie, Finanzkonzept) ist jedoch streitig. Die Art. 29-Datenschutzgruppe geht in ihrem Working Paper 242 davon aus, dass auch solche abgeleiteten Daten von dem Recht nach Art. 20 DSGVO erfasst sein müssen, da dieses Recht ansonsten für den Nutzer sinnlos wäre. Diesem geht es schließlich gerade darum, die Daten, die aufgrund der Nutzung eines Dienstes entstehen, zu sichern. Sollten hierbei Geschäftsgeheimnisse oder das geistige Eigentum eines Verantwortlichen verletzt werden, kann sich dieser immerhin auf Art. 20 Abs. 4 DSGVO berufen. Demnach dürfen bei der Ausübung des Rechts nach Art. 20 Abs. 1 oder Abs. 2 DSGVO Rechte und Freiheiten anderer Personen nicht beeinträchtigt werden. Zu „andere Personen“ darf sich auch der Anbieter als Verantwortlicher zählen.
Die Stiftung Datenschutz empfiehlt daher, diese Voraussetzung stets einzelfallbezogen zu beurteilen.
Daten, die demzufolge nicht von Art. 20 DSGVO erfasst wären, sind aber für die betroffene Person nicht verloren. Art. 15 Abs. 3 DSGVO sieht vor, dass die betroffene Person die Herausgabe einer Kopie der über sie gesammelten Daten verlangen kann. Da in Art. 15 DSGVO der Wortlaut nicht auf bestimmte Daten beschränkt wird, können hierunter sämtliche Daten subsumiert werden.
Was sind „die sie betreffenden Daten“?
Weiterhin ist fraglich, ob Daten, die auch Dritte betreffen, vom Anwendungsbereich der Norm erfasst sind oder vielmehr ausgeschlossen sind. Davon hängt ab, ob bspw. Gruppenfotos aus sozialen Netzwerken oder E-Mail-Verläufe an einen neuen Anbieter übermittelt werden dürfen.
Wer muss die Rechte und Freiheiten anderer wahren?
Neben dieser derzeit stark diskutierten Auslegungsproblematik stellt sich weiterhin im Rahmen von Art. 20 Abs. 4 DSGVO die Frage, wer die Rechte und Freiheiten anderer bei der Ausübung des Übermittlungsanspruchs wahren muss. Da es schließlich die betroffene Person selbst ist, die ein Recht ausüben möchte, wird vertreten, dass es demnach auch diese Person sein müsse, die die Rechte anderer wahren muss. Dies hätte zur Folge, dass die betroffene Person die zu übermittelten Datensätze im Vorfeld selektieren müsste. Da diese den besten Überblick über ihre Daten hat, wäre es ihr immerhin möglich und zumutbar. Allerdings ist eine natürliche Person, die personenbezogene Daten ausschließlich zu persönlichen/ familiären Zwecken verarbeitet, niemals Adressat einer Pflicht aus der DSGVO, vgl. Art. 2 Abs. 2 lit. c) DSGVO. Stattdessen könnten hier allerdings zivilrechtliche Ansprüche aus dem allgemeinen Persönlichkeitsrecht greifen. Daneben wird vertreten, dass im Falle einer Verletzung von Rechten oder Freiheiten anderer den Verantwortlichen die Beweislast treffe, was dafür sprechen würde, dass auch er diese Rechte beachten muss.
Wer haftet bei Verstößen?
Verstöße gegen Art. 20 DSGVO sind gemäß Art. 83 Abs. 5 lit. b) DSGVO bußgeldbewährt. Doch wer haftet eigentlich bei Verstößen? Klar ist jedenfalls, dass der neue Anbieter, der mit Eingang der Datensätze zum (neuen) Verantwortlichen wird, nicht haftet, wenn er die Annahme verweigert. Durch die Verweigerung der Annahme wird dieser nicht zum Verantwortlichen im Sinne des DSGVO, da das Betroffenenrecht nur die Übertragung und nicht den Empfang regelt. Hingegen haftet der bisherige Verantwortliche für Verstöße bei der Rechtsausübung, sowie im Falle der unberechtigten Verweigerung des Anspruchs – z. B. einer unterlassenen Datenherausgabe – aus Art. 20 DSGVO.
Fazit:
Das neue Recht auf Datenübertragbarkeit birgt derzeit mehr Unsicherheiten als Klarheiten. Für die großen „Global Player“ kann das Recht aus Art. 20 DSGVO eine Chance sein, den Wettbewerb untereinander zu fördern. Gleichzeitig kann es kleine Unternehmen Start-Ups vor unlösbare Aufgaben stellen. Wie auch die Stiftung Datenschutz zusammenfasst, besteht ein großes Bedürfnis nach einer verbindlichen Äußerung durch die deutschen Aufsichtsbehörden. Daneben wird befürchtet, dass das neue Recht in der Praxis primär der Steigerung des Wettbewerbs dient, anstatt – wie es vom Gesetzgeber ursprünglich vorgesehen war – der Kontrolle über personenbezogene Daten der betroffenen Person.