In diesem Blog-Beitrag soll der sich eher im Verborgenen bewegende Art. 20 DS-GVO durchleuchtet werden. Von den zahlreichen Betroffenenrechten, die die DS-GVO zu bieten hat, ist die Datenübertragbarkeit das wohl am wenigsten bekannte – obwohl in der Literatur stark diskutierte Betroffenenrecht. Auch die Anwendung dieser Norm ist in der Praxis mit Unsicherheiten verbunden.
Begriff der Datenübertragbarkeit
Das Recht auf Datenübertragbarkeit erlaubt es betroffenen Personen die Herausgabe ihrer Daten zu verlangen, um die Daten an einen anderen Verantwortlichen weiterzugeben. Hierdurch sollen Betroffene bezüglich der Nutzung ihrer personenbezogenen Daten mehr Flexibilität bekommen. Der Wechsel von Online-Dienstanbietern soll dann durch eine automatisierte Datenübertragung deutlich erleichtert werden.
Zweck der Datenübertragbarkeit
Erwägungsgrund 68 Satz 1 zur DS-GVO nennt als Ziel die bessere Kontrolle Betroffener „im Fall der Verarbeitung personenbezogener Daten mit automatisierten Mitteln“. Primär, so das Verständnis von Literatur und Praxis, fungiert die Norm als Werkzeug, um wettbewerbspolitische Belange zu verfolgen, wohingegen der Schutz personenbezogener Daten an sekundärer Stelle steht. Genau gesagt, sollen durch die Datenübertragbarkeit sogenannte „Lock-in-Effekte“ verhindert werden. Unter Lock-in-Effekten versteht man die „Mühe“ oder den Aufwand (Switching Costs) den Nutzer zum Wechseln zu einem anderen Anbieter in Kauf nehmen müssen. Dieser Aufwand kann Nutzer effektiv an jenem Wechsel hindern. Durch das Recht der Datenübertragbarkeit und Kompatibilität personenbezogener Daten soll den Lock-in-Effekten entgegengewirkt und der Wechsel erleichtert werden. Das Ziel ist die Stärkung der Positionen von kleineren und neuen Anbietern.
Recht auf Datenübertragbarkeit in der Praxis
In der Literatur wird diskutiert, was die konkreten praktischen Anwendungsgebiete des Art. 20 DS-GVO sein können. Eine eindeutige Antwort gibt es bisher jedoch nicht. Erwägungsgrund 55 des Kommissionsentwurfs nannte ursprünglich soziale Netzwerke als das Hauptanwendungsgebiet. Dies erscheint jedoch angesichts der Tatsache, dass soziale Netzwerke hauptsächlich dem Austausch zwischen mehreren Personen dienen, wodurch regelmäßig auch personenbezogene Daten Dritter betroffen sind, fragwürdig. Der Grund liegt darin, dass nach Art. 20 Abs. 4 DS-GVO die Datenübertragbarkeit die Rechte und Freiheiten anderer Personen nicht beeinträchtigen darf. Es ist jedoch festzuhalten, dass die Übertragung von Profildaten grundsätzlich von Art. 20 Abs. 1 erfasst sein kann. Der Anwendungsbereich der Norm ist jedoch weit und beschränkt sich nicht auf die im Kommissionsentwurf vorgesehenen sozialen Medien. Die Anwendbarkeit des Art. 20 umfasst unter anderem auch Cloud-Dienste oder Playlists auf Streaming-Plattformen.
In der betrieblichen Praxis stellen Arbeitgeber und Betriebsräte die Frage, ob sie die Regelungen des Art. 20 DS-GVO im gleichen Maße treffen, wie die vom Kommissionsentwurf umfassten Anbieter von sozialen Netzwerken. Grundsätzlich kann jeder Verantwortliche Adressat dieser Norm sein. In der Literatur herrscht Einigkeit darüber, dass die Norm auch bei einem Wechsel der Arbeitgeber anwendbar ist. Fraglich bleibt allerdings, ob Art. 20 DS-GVO auch den Betriebsrat tangiert.
Gemäß § 79a Betriebsverfassungsgesetz (BetrVG) hat der Betriebsrat bei der Verarbeitung personenbezogener Daten die Vorschriften des Datenschutzes einzuhalten. Art. 20 DS-GVO dürfte also auch bei Anträgen, die sich an Betriebsräte richten, anwendbar sein. Zu beachten ist jedoch, dass nach § 79a Satz 2 BetrVG der Arbeitgeber der Verantwortliche im datenschutzrechtlichen Sinne ist. Anträge sind also an den Arbeitgeber zu richten und nicht an den Betriebsrat, da letztendlich der Arbeitgeber als Verantwortlicher dafür zuständig ist, die personenbezogenen Daten zu übertragen.
Doch damit nicht genug. Art. 20 DS-GVO grenzt den Kreis, gegen die man als Betroffener seine Rechte geltend machen kann, nicht ein. Das bedeutet, dass Betroffene Ihr Recht auf Datenübertragbarkeit grundsätzlich auch gegen kleine Unternehmen geltend machen können, solange die Voraussetzungen des Art. 20 Abs. 1 lit. a) (Einwilligung) und lit. b) (automatisierte Verfahren) erfüllt sind, was beispielsweise bei Handwerkern eher die Ausnahme sein dürfte. Aus dieser mangelnden Abgrenzung kann somit auch davon ausgegangen werden, dass es keine Unterschiede in den Kriterien der Umsetzung des Rechts gibt. Verantwortliche haben die vom Betroffenen bereitgestellten Informationen in einem strukturierten, gängigen maschinenlesbaren Format zu übergeben. Diese Regelung gilt für Handwerker und Arbeitgeber in gleichem Maße wie für Anbieter von sozialen Netzwerken.
Strukturiertes, gängiges und maschinenlesbares Format
Die Idee hinter dieser Anforderung ist es, den Wechsel zu einer möglichst breiten Auswahl an Anbietern zu ermöglichen. Die Praxis zeigt jedoch, dass eine vollständige Kompatibilität bzw. Interoperabilität nicht möglich ist. Erfasste Formate sind einerseits digitale, aber auch gedruckte Formate, die eingescannt werden können und die eine computergesteuerte Verarbeitung ermöglichen.
Ob ein Format gängig ist, ist nach dem allgemeinen Sprachgebrauch orientiert. Gängig steht allgemein für beispielsweise gebräuchlich, weit verbreitet oder allgemein üblich. Die Strukturiertheit bezieht sich auf die Art der Strukturierung der Daten. Das bedeutet, dass die zu übertragenden personenbezogenen Daten nach bestimmten Kriterien geordnet sein müssen. Art. 20 geht hier jedoch nicht auf eine logische oder leicht verständliche Strukturierung ein. Unter strukturierten Formaten herrscht in der Literatur soweit Einigkeit. Formate wie XML, SQLite und Excel-Dateien können geeignet sein.
Fazit
Aufgrund der Tatsache, dass das Recht auf Datenübertragbarkeit, wie bereits erwähnt, wohl das am wenigsten in Anspruch genommene Betroffenenrecht ist, ist auch die Rechtsprechung hierzu mehr als überschaubar. Die Zukunft wird zeigen, ob sich die Rechtsprechung den oben genannten Aussagen anschließt, oder gänzlich andere Vorgaben entwickeln wird.
Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
