Noch
bis zum neuen Datenschutzrecht nach der DS-GVO

Der externe Datenschutzbeauftragte

Als Dienstleister übernehme ich alle Aufgaben des betrieblichen Datenschutzbeauftragten für Ihr Unternehmen.

Mehr Informationen

Datenschutz-Audits

Mit einer Zertifizierung nach dem Standard DS-BvD-GDD-01 kann Ihr Unternehmen nach außen dokumentieren, dass Sie den Datenschutz ernst nehmen und die Daten Ihrer Kunden bei Ihnen sicher sind.

Mehr Informationen

Computerforensik

Wer hat wann welche Tätigkeiten am PC oder Smartphone durchgeführt? Die Computerforensik findet die Antworten...

Mehr Informationen

Datenschutz

Ein hohes Datenschutzniveau ist heute ein wichtiges Qualitätsmerkmal für viele Unternehmen. Ein externer Datenschutzbeauftragter gewährleistet die Umsetzung der gesetzlichen Vorgaben.

Mehr Informationen

Datenschutz-Audits

Mit einem Datenschutz-Audit kann ein Unternehmen die Einhaltung der datenschutzrechtlichen Vorschriften nach außen dokumentieren. Für Auftragsdatenverarbeitungen ist insbesondere der Standard DS-BvD-GDD-01 interessant.

Mehr Informationen

Gutachten

Ob zur Strafverfolgung durch die Behörden, zur Beweisführung in zivilrechtlichen Verfahren oder zur Bewertung von Hard- und Software - häufig kann ein IT-Gutachen die benötigten Nachweise liefern.

Mehr Informationen

Computer-Forensik

Computerstraftaten haben in den letzten Jahren enorm zugenommen. Zur Beweisführung aber auch zur Verteidigung gegen unberechtigte Beschuldigungen können computerforensische Gutachten den entscheidenden Beitrag liefern.

Mehr Informationen

Neu in der DS-GVO: Das Recht auf Datenübertragbarkeit

20. März 2017

Eine der Neuerungen, die durch die DS-GVO auf die für die Datenverarbeitung Verantwortlichen zukommt, ist das sogenannte Recht auf Datenübertragbarkeit. Festgelegt ist dieses Recht in Art. 20 DS-GVO.

Demnach hat die betroffene Person „das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln“. Dies soll immer dann gelten, wenn die Grundlage der Datenverarbeitung die Einwilligung oder ein Vertrag ist und die Daten automatisiert verarbeitet werden. Für nur in Papierform vorgehaltene Daten gilt dies demnach nicht.

Die Regelung in der Theorie…

Der Gesetzgeber stellt sich die Datenübertragbarkeit so vor, dass die betroffene Person mit möglichst wenig Aufwand, seine Daten in elektronischer Form von seinem Anbieter erhält (beispielsweise per Download). Genauso einfach sollte dann der Upload der Daten zu einem neuen Anbieter erfolgen können. Möchte als beispielsweise eine betroffene Person von Facebook zu einem anderen Anbieter wechseln, so sollte dies gemäß dieser gesetzlichen Regelung künftig problemlos möglich sein.

In Absatz 2 dieses Artikels definiert der Gesetzgeber sogar noch eine weitere Vereinfachung der Datenübertragung für die betroffene Person. So soll die betroffene Person auch das Recht haben, „zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden“. Allerdings stellt der Gesetzgeber diese Forderung unter den Vorbehalt der technischen Machbarkeit.

…und wie sieht die Praxis aus?

Den direkten Transfer von einem Anbieter zu einem anderen Anbieter können die Verantwortlichen also mit der Begründung ablehnen, dass dies aus technischen Gründen nicht machbar ist. Aber auch der Prozess, wie der indirekte Transfer der Daten vom bisherigen Anbieter an die betroffene Person und von dort zum künftigen Anbieter erfolgen soll, ist vom Gesetzgeber nicht geregelt. Damit dies ohne erheblichen Anpassungsaufwand möglich ist, müssten sich die unterschiedlichen Anbieter auf ein gemeinsames Format einigen. Genau das ist aber vom Gesetzgeber gar nicht gefordert. Lediglich strukturiert, gängig und maschinenlesbar hat das Format zu sein.

Da die meisten Anbieter kein Interesse daran haben werden, dass betroffene Personen problemlos zu anderen Anbietern wechseln können, wird abzuwarten sein, wie diese Regelung in der Praxis durchgesetzt werden kann.

Umfang der Datenübermittlung

Die Artikel 29 Gruppe hat mit dem WP 242 eine ausführliche Stellungnahme zur Auslegung des in der DS-GVO definierten Rechts auf Datenübertragbarkeit veröffentlicht. Demnach wird die gesetzliche Formulierung, dass die „sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat“ zu übermitteln sind sehr umfassend ausgelegt. Auch alle entstandenen Roh- und Metadaten sollen demnach in der Übermittlung enthalten sein. Am Beispiel eines E-Mail Providers wird beispielsweise ausgeführt, dass nicht nur der Inhalt der E-Mail zur Verfügung zu stellen ist, sondern dass auch der gesamte Header, der Angaben zum Transportweg der E-Mail enthält (beispielsweise IP-Adressen, DNS-Namen der beteiligten Server) zu übermitteln ist.

Bußgelder

Auch wenn derzeit noch nicht klar ist, wie das Recht auf Datenübertragbarkeit in der Praxis gestaltet werden kann, drohen auch hier ab dem 25.05.2018 Bußgelder. Der Gesetzgeber sieht für Verstöße gegen Artikel 20 DS-GVO Bußgelder von bis zu 20 Mio. EUR oder 4% des weltweit erzielten Jahresumsatzes vor.

Speichern Sie Kundendaten, die unter das Recht auf Datenübertragbarkeit fallen können? Sprechen Sie uns an? Gerne unterstützen wir Sie bei der weiteren Analyse und der datenschutzkonformen Umsetzung der Verfahren.