Recht auf Datenübertragbarkeit
Mehr Rechte für Betroffene
Das Recht auf Datenübertragbarkeit wird immer wichtiger. Mit dem neuen Gesetz haben Betroffene nun das Recht, Ihre bereitgestellten gespeicherten Daten ausgehändigt zu bekommen.
Jedes Unternehmen, das gewissenhaft und zweckbestimmt mit den Daten umgeht, sollte hier keinerlei Probleme haben.
Regelung in der DSGVO
Art. 20 der Datenschutz Grundverordnung besagt, dass die bereitgestellten personenbezogenen Daten, welche dem Verantwortlichen preisgegeben wurden, in einem „strukturierten, gängigen und maschinenlesbaren Format“, übermittelt werden können.
Dies geschieht zum Beispiel im Rahmen eines Anbieterwechsels, welcher dann die angegebenen Daten zur Weiterverarbeitung erhält. Dadurch soll der Wechsel für den Verbraucher reibungslos gestaltet werden. Bereits übermittelte Daten gehen nicht verloren, was viele dazu bewegt einen Wechsel zu einem möglicherweise passenderen Anbieter anzustreben.
Früher hingegen wurde oft von Anbietern versucht, Kunden an sich zu binden, indem die Bereitstellung der Daten erschwert wurde. Durch das neu erlassene Recht auf Datenübertragbarkeit ist eine solche Methode zukünftig nicht mehr durchsetzbar.
Rahmenbedingungen für das Recht auf Datenübertragbarkeit
Wie eingangs schon erwähnt, haben Verbraucher gemäß Art. 20 DSGVO ein Recht auf Datenübertragbarkeit, sobald es sich um eine automatisierte Verarbeitung, die auf einer Einwilligung oder der Durchführung eines Vertrages beruht, handelt.
Das bedeutet, alle Daten, die vom jeweiligen Verbraucher direkt oder indirekt bereitgestellt wurden, sind von diesem Gesetz geschützt, also übertragbar. Lediglich Handynummern fallen nicht in diesen Bereich. Das liegt an der Bereitstellung durch den jeweiligen Anbieter und ist der Grund für anfallende Kosten bei einer Nummernmitnahme.
Daten wie der Name, die Anschrift, Selbstauskünfte oder Bankverbindungen sind notwendige Daten und werden direkt bereitgestellt. Sie sind notwendig, um einen Vertrag zu erfüllen.
Daten, die durch die Nutzung eines Onlinedienstes oder eines vernetzten Geräts abgegeben werden, nennt man indirekt bereitgestellte Daten.
Praxisbezogene Beispiele
Betrachten wir den alltäglichen Fall, dass ein Bankkonto gewechselt werden soll.
Die zur Anlegung eines Bankkontos erforderlichen Daten wie der vollständige Name, das Geburtsdatum und weitere Angaben dürfen also laut Gesetz an die neue Bank übermittelt werden. Mit diesen Angaben kann man nun ganz einfach ein neues Konto mit der erhaltenen Selbstauskunft eröffnen.
Das hat vor allem Vorteile in Bezug auf die Zeit. Durch die schnelle und unkomplizierte Übermittlung fallen langwierige Verifizierungsverfahren weg, wodurch der Wechsel beschleunigt wird.
Die gleichen Übertragungsrechte gelten auch wenn das Fitnessstudio gewechselt werden soll.
Falls Daten über den Körper, wie Gewicht, Fett- und Muskelmasse oder andere Werte gespeichert und in einem Fitnessprofil angelegt wurden, gehen diese dank des Rechts auf Datenübertragbarkeit nicht einfach verloren. Im Gegenteil: Alle eingetragenen Werte müssen, falls gewünscht, an das neue Fitnessstudio übermittelt werden. Dieses kann dann bequem ein neues Profil anlegen und damit arbeiten.
Bedeutung des Rechts auf Datenübertragbarkeit für Unternehmen
Unternehmen sind nicht automatisch verpflichtet alle Daten, die in irgendeiner Art und Weise mit dem Verbraucher zusammenhängen, preiszugeben.
Handelt es sich um Daten von Dritten dürfen diese gar nicht weitergegeben werden. Das liegt daran, dass sonst das „Recht auf informationelle Selbstbestimmung Dritter“ verletzt werden würde. Diese Informationen umfassen Informationen wie zum Beispiel die Liste der Follower in einem sozialen Netzwerk.
Auch nicht zur Weitergabe verpflichtend sind Daten, die ein Unternehmen abgeleitet hat. Darunter fallen Daten, welche aufgrund des Nutzerverhaltens des Verbrauchers vom Unternehmen selbstständig generiert wurden.
Ebenso gehören dazu allerdings auch ausgefüllte Bewertungen oder Infos bezüglich Profil-Personalisierungen. Sie werden nicht selten dafür benötigt, Analyseverfahren und firmeninterne Algorithmen zu unterstützen.
Hinweise für Unternehmer
Die Stiftung Datenschutz weist Unternehmen darauf hin, sich auf mögliche Anfragen bezüglich der Datenübertragung von Betroffenen vorzubereiten, um Schwierigkeiten und Verzögerungen weitestgehend zu vermeiden.
Dies gelingt, indem zuallererst eingestuft wird, wie häufig mit einer solchen Anfrage gerechnet werden kann und welche Kapazitäten dafür bereitgestellt werden müssen. Das bedeutet, es sollte bestimmt werden, wer und in welchem Ausmaß sich um die Anfrage kümmert.
Wenn der Bedarf eingeschätzt wurde, muss festgelegt werden, welche Daten nun genau von einer solchen Anfrage betroffen sind. Es sollte zudem geklärt werden, ob die Daten in verschiedenen Datenbeständen auf unterschiedlichen Servern oder Clouds gespeichert wurden, also wo konkret sich die Daten befinden. Es ist darauf zu achten, dass die Identität des Verbrauchers eindeutig bestätigt wird.
Um die Identifikation in Ernstfällen, wie der Anfrage in Bezug auf die Datenübertragung, nachzuweisen, muss diese dokumentiert werden. Wie oben bereits erwähnt, müssen die Daten in einem „strukturierten, gängigen und maschinenlesbaren Format“ weitergeleitet werden, weshalb auch die Wahl des passenden Formats eine bedeutende Rolle spielt.
Ein wichtiger Punkt zuletzt:
Unternehmen sollten und müssen in jedem Fall eine Datenübertragung gewährleisten, die absolut sicher ist. Auch darf kein unbefugter Dritter Zugriff darauf erhalten. Das bedeutet, die Daten dürfen nur verschlüsselt übermittelt werden. Je nachdem um welche Art personenbezogener Daten es sich handelt, können diese unterschiedlich verschlüsselt werden. Besonderen Schutz genießen beispielsweise Daten zum Gesundheitszustand eines Verbrauchers.
