Wie in den von der Artikel-29-Datenschutzgruppe (2017) ausgearbeiteten Leitlinien zum Recht auf Datenübertragbarkeit hervorgehoben wird, beschränkt sich das Recht auf Datenübertragbarkeit nicht auf die Möglichkeit, die personenbezogenen Daten der betroffenen Person von einem Verantwortlichen an einen anderen zu übermitteln, sondern umfasst auch das Recht der betroffenen Person, eine Teilmenge der verarbeiteten personenbezogenen Daten zu erhalten und sie für den persönlichen Gebrauch zu speichern. Anders ausgedrückt: Die Datenübermittlung an einen anderen Verantwortlichen ist kein zwingendes konstitutives Element des Rechts auf Datenübertragbarkeit, da eine seiner Besonderheiten darin besteht, dass es der betroffenen Person eine einfache Möglichkeit bietet, personenbezogene Daten selbst[1] zu verwalten und wiederzuverwenden. Insgesamt bezieht sich die Datenübertragbarkeit auf personenbezogene Daten, die sich auf die einzige betroffene Person beziehen, unabhängig davon, ob sie von der betroffenen Person aktiv bereitgestellt oder ob sie aufgrund der Nutzung des Dienstes der Einrichtung zur Verfügung gestellt wurden. Im letztgenannten Fall weist die Artikel-29-Datenschutzgruppe darauf hin, dass der Verantwortliche den Begriff „personenbezogene Daten der betroffenen Person“ nicht allzu restriktiv auslegen sollte[2].
Das Recht auf Übertragbarkeit ist erfüllt, wenn der Verantwortliche die angeforderten Informationen direkt an die betroffenen Personen übermittelt oder ihnen Zugang zu einem automatisierten Tool gewährt, das es ihnen ermöglicht, die angeforderten Informationen selbst zu extrahieren. Die letztgenannte Methode bedeutet nicht, dass die Verantwortlichen einen allgemeineren und routinemäßigen Zugang zu ihrem eigenen System gewähren müssen; vielmehr muss dieser Zugang auf die Extraktion der Informationen im Anschluss an den Antrag auf Übertragbarket[3] beschränkt sein.
Die Übermittlung personenbezogener Daten von einem Verantwortlichen an einen anderen hängt von ihrer rechtlichen, technischen und finanziellen Durchführbarkeit ab. Als potenzielle Hindernisse nennt die Artikel-29-Datenschutzgruppe: wenn Gebühren für die Datenbereitstellung erhoben werden, wenn keine Dateninteroperabilität geboten wird bzw. kein Zugriff auf ein Datenformat, keine Programmierschnittstelle oder nicht das bereitgestellte Format angeboten wird, wenn übermäßige Verzögerungen auftreten oder die Abfrage des vollständigen Datensatzes zu kompliziert ist, wenn Daten absichtlich verschleiert werden, oder wenn spezifische, überzogene oder nicht gerechtfertigte sektorspezifische Normungs- oder Akkreditierungsanforderungen aufgestellt werden[4]. Zu diesem Zweck sieht Erwägungsgrund 68 der Datenschutz-Grundverordnung vor, dass der Verantwortliche interoperable Formate entwickeln sollte, d. h. die Fähigkeit des Informationssystems, Daten auszutauschen und den Informationsaustausch zu ermöglichen. Der Verantwortliche ist jedoch nicht verpflichtet, diese Formate zu unterstützen, was zur Folge hat, dass eine direkte Übermittlung erfolgen kann, sofern die Kommunikation zwischen den beiden Systemen möglich und sicher ist. Beispiele für interoperable Formate sind: ein SFTP-Server, eine gesicherte Webprogrammierschnittstelle oder ein Webportal.
Darüber hinaus sollten die Daten in einem strukturierten, allgemein verwendeten und maschinenlesbaren Format vorliegen. Umdieses Merkmal zu verstehen, kann das von Open Knowledge International veröffentlichte Open Data Handbook eine nützliche Quelle sein[5]. Strukturierte Daten können als Daten definiert werden, bei denen die strukturelle Beziehung zwischen den Elementen in der Art und Weise, wie die Daten auf einer Computerfestplatte gespeichert sind, explizit ist. Das bedeutet, dass die Software bestimmte Elemente der Daten extrahieren kann. Ein Beispiel für ein strukturiertes Format ist eine Tabellenkalkulationsdatei, in der die Daten in Zeilen und Spalten organisiert sind. Maschinenlesbare Daten hingegen sind Daten, die automatisch von einem Computer gelesen und verarbeitet werden können. Maschinenlesbare Daten können Anwendungendirekt bereitgestellt werden, die diese Daten über das Internet anfordern[6]. Dies geschieht über eine Anwendungsprogrammierschnittstelle („API“). Schließlich ist es wichtig zu betonen, dass das Erfordernis der „gemeinsamen Nutzung“ zwar durch die Verwendung gängiger Softwareanwendungen erfüllt werden könnte, diese Anwendungen aber auch den strukturierten und maschinenlesbaren Standards entsprechen müssen, um das Recht auf Übertragbarkeit zu erfüllen. Offene Formate wie CSV, XML, JSON und RDF sind in jedem Fall ein gutes Beispiel dafür, wie man einem Antrag auf Übertragbarkeit gerecht werden kann.
In Anbetracht der Tatsache, dass die Datenübertragbarkeit die Übermittlung personenbezogener Daten beinhaltet, könnte ein solcher Vorgang zu einer potenziellen Gefahrenquelle für die personenbezogenen Daten als solche werden. Daher muss der Verantwortliche alle erforderlichen Maßnahmen ergreifen, um eine sichere Übermittlung an den richtigen Empfänger zu gewährleisten. Dieses Ziel könnte durch Datenverschlüsselung, einmalige Passwörter usw. erreicht werden.
Es wird auch darauf hingewiesen, dass ein Verantwortlicher, der auf einen Antrag auf Datenübertragbarkeit antwortet, auf Anweisung der betroffenen Person handelt und folglich nicht für die Einhaltung des Datenschutzrahmens durch den Empfänger verantwortlich ist. Außerdem ist der Verantwortliche, der die Daten übermittelt, nicht verpflichtet, die Richtigkeit der personenbezogenen Daten zu überprüfen[7]; dennoch zieht ein Datenübertragbarkeitsvorgangnicht automatisch die Löschung der Daten aus den Systemen des Verantwortlichen nach sich und wirkt sich auch nicht auf die ursprüngliche Speicherfrist für die übermittelten Daten aus[8].
Bezieht sich der Antrag der betroffenen Person auf Informationen über andere Personen, muss der Verantwortliche prüfen, ob deren Rechte und Freiheiten beeinträchtigt werden. Wird der Antrag auf Übertragbarkeit hingegen von mehreren betroffenen Personen gestellt, muss der Verantwortliche sicherstellen, dass alle Betroffenen dem Antrag zustimmen[9].
Schließlich ist hervorzuheben, dass es kein Recht auf Auskunft über hergeleitete Daten gibt, da diese NICHT von den betroffenen Personen bereitgestellt werden. Nichtsdestotrotz kann die betroffene Person nach Maßgabe des (sich auf das Auskunftsrecht beziehenden) Artikels 15 der DSGVO von ihrem Recht Gebrauch machen, „von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten“, sowie von ihrem Recht, Informationen über „das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person“ anzufordern[10].
Im Bereich der Forschung könnte die Datenübertragbarkeit die Entwicklung „immer stärker nutzerorientierter Plattformen für die Verwaltung personenbezogener Daten“[11] ermöglichen und gleichzeitig den betroffenen Personen eine wirksame Kontrolle über ihre persönlichen Informationen geben. Insbesondere könnte die Datenübertragbarkeit für den Aufbau eines breiten Forschungsnetzes, die Erleichterung der Sekundärnutzung und die Verwirklichung der Citizen Science (Bürgerwissenschaft) nützlich sein (d. h. Einzelpersonen sollten in der Lage sein, ihre Daten aus verschiedenen Quellen an Forschungseinrichtungen zu übertragen)[12].
Checkliste für die Beantwortung eines Datenübertragsbarkeitsantrags Steht die Ausübung des Rechts auf Datenübertragbarkeit im Einklang mit der Datenschutz-Grundverordnung? ☐ Haben Sie einen Antrag auf Datenübertragbarkeit von einer natürlichen Person erhalten? Wenn nicht, geben Sie bitte an, dass der Antrag nicht von einer natürlichen Person gestellt wurde, und weisen Sie darauf hin, dass der Antrag gemäß den einschlägigen Rechtsvorschriften gestellt werden sollte. ☐ Wurde der Antrag auf Übertragbarkeit von mehreren betroffenen Personen gestellt? Wenn ja, stellen Sie sicher, dass alle Betroffenen dem Antrag zustimmen. ☐ Hat sich die betroffene Person korrekt identifiziert? Falls nicht, bitten Sie um weitere Informationen zur Bestätigung der Identität. ☐ Werden die Daten auf einer der in Artikel 20 Absatz 1 DSGVO genannten Rechtsgrundlagen verarbeitet? Falls nicht, informieren Sie bitte die betroffene Person, dass ihr Antrag abgelehnt wird. ☐ Ist die Datenverarbeitung für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde? Falls ja, teilen Sie der betroffenen Person bitte mit, dass ihr Antrag abgelehnt wird. ☐ Kann die Anfrage innerhalb eines Monats bearbeitet werden? Wenn nein, geben Sie bitte an, warum und wie lange die Bearbeitung der Anfrage dauern wird. ☐ Dem Antrag muss stattgegeben werden. Wie können Sie alle Pflichten der DSGVO erfüllen? ☐ Wenn sich die Informationen mit denen von anderen Personen überschneiden, führen Sie bitte eine Abwägung durch. ☐ Übermittlung von Daten in strukturierten, allgemein gebräuchlichen und maschinenlesbaren Formaten. ☐ Übertragen Sie Daten auf sichere Weise. |
Quellenangaben
1Artikel-29-Datenschutzgruppe (Hrsg.), Leitlinien zum Recht auf Datenübertragbarkeit, 2017, WP 242 rev.01, S. 4-5. Unter: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611233 ↑
2Für ein weiteres Beispiel siehe: ibid .,S. 9 ↑
3Information Commissioner’s Office (Hrsg.), op. cit. , S. 140 ↑
4Artikel 29 Datenschutzgruppe (Hrsg.), Leitlinien zum Recht auf Datenübertragbarkeit, op. cit., S. 15 ↑
5Das Handbuch ist verfügbar unter: https://opendatahandbook.org/ [letzter Zugriff: 30.10.2020] ↑
6Der Begriff wird in Absatz 21 der Richtlinie 2013/37/EU definiert als (…) ein Dateiformat, das so strukturiert ist, dass Softwareanwendungen die konkreten Daten einfach identifizieren, erkennen und extrahieren können. In Dateien verschlüsselte Daten, die in maschinenlesbarem Format strukturiert sind, sind maschinenlesbare Daten. Maschinenlesbare Formate können offen oder geschützt sein; sie können einem formellen Standard entsprechen oder nicht. Dokumente, die in einem Dateiformat verschlüsselt sind, das eine automatische Verarbeitung einschränkt, weil die Daten nicht oder nicht ohne Weiteres aus ihnen extrahiert werden können, sollten nicht als maschinenlesbar gelten. Die Mitgliedstaaten sollten die Anwendung offener, maschinenlesbarer Formate gegebenenfalls fördern. ↑
7Artikel-29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, op. cit. , S. 6 ↑
8 Ebd., S. 7 ↑
9Information Commissioner’s Office (Hrsg.), op. cit., S. 139 ↑
10Artikel-29-Datenschutzgruppe (Hrsg.), Leitlinien zum Recht auf Datenübertragbarkeit, op. cit., S. 15. ↑
11P. De Hert, V. Papakonstantinou, G. Malgieri, L. Beslay, I. Sanchez, The Right to Data Portability in the DSGVO: Towards User-Centric Interoperability of Digital Services, Computer Law and Security Review, Vol. 34, No. 2, 2018, S. 203. ↑
12P. Quinn P., Is the DSGVO and its Right to Data Portability a Major Enabler of Citizen Science?, Global Jurist, Juni 2018, S. 8–9 ↑